fastjson CWE-502 Deserialization of Untrusted Data漏洞修复
1. 漏洞背景
Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
Fastjson多处补丁修补出现纰漏,Fastjson在1.2.68版本以下,无需Autotype开启,或者可绕过autoType限制,攻击者即可通过精心构造的请求包在使用Fastjson的服务器上进行远程代码执行。
受影响的版本:
fastjson <=1.2.68
fastjson sec版本 <= sec9
恶意攻击者可以利用漏洞攻击做到:
1、执行远程命令,获取服务数据
2、执行远程命令,植入后门,控制服务器
2. 修复思路
1.升级至安全版本.
2.对fastjson进行一定的安全加固措施
3.采用其他json处理组件替换,jackson-databind漏洞也频发,建议使用Gson
4.使用WAF紧急漏洞拦截,再升级到安全版本
3. 代码修复
1.升级至安全版本,参考下载链接:https://repo1.maven.org/maven2/com/alibaba/fastjson/
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.69</version>
</dependency>2.对fastjson进行一定的安全加固措施
fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可一定程度上缓解反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)
开启方法参考:
打开SafeMode功能
在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。
有三种方式配置SafeMode,如下:
A.在代码中配置
ParserConfig.getGlobalInstance().setSafeMode(true);
B.加上JVM启动参数
-Dfastjson.parser.safeMode=true
如果有多个包名前缀,用逗号隔开
C.通过fastjson.properties文件配置。
通过类路径的fastjson.properties文件来配置,配置方式如下:
fastjson.parser.safeMode=true
3.采用其他json处理组件替换,jackson-databind漏洞也频发,建议使用Gson