阿里巴巴開源的 JSON 解析庫 Fastjson 被曝高危漏洞，官方已發佈安全公告

技術編輯：徐九丨發自 思否辦公室

---

Fastjson 是阿里巴巴開源的一個 Java 庫，能夠將 Java 對象轉換爲 JSON 格式，固然它也能夠將 JSON 字符串轉換爲 Java 對象。fastjson 當前版本爲 1.2.68 發佈於 3 月底。

近日，阿里雲應急響應中心監測到 fastjson 爆發新的反序列化遠程代碼執行漏洞，黑客利用漏洞，可繞過 autoType 限制，直接遠程執行任意命令攻擊服務器，風險極大。360 安全中心將該漏洞等級定爲 「高危」。

1. 漏洞描述

fastjson 採用黑白名單的方法來防護反序列化漏洞，致使當黑客不斷髮掘新的反序列化 Gadgets 類時，在 autoType 關閉的狀況下仍然可能能夠繞過黑白名單防護機制，形成遠程命令執行漏洞。經研究，該漏洞利用門檻較低，可繞過 autoType 限制，風險影響較大。阿里雲應急響應中心提醒 fastjson 用戶儘快採起安全措施阻止漏洞攻擊。

2. 影響版本

fastjson <=1.2.68

fastjson sec版本 <= sec9

android 版本不受此漏洞影響

3. 漏洞驗證

使用 JNDI 配合 RMI&LDAP 二階注入或者字節碼本地注入便可。

字節碼本地注入能夠不受 JDK 修復限制且不受目標機器網絡環境限制，此種利用方式對於攻擊者更爲有利。

對於該漏洞，官方建議升級到最新版本 1.2.69 或更新的 1.2.70 版本，來規避相關的風險。

---

項目地址：
https://github.com/alibaba/fa...
fastjson 官方安全公告：
https://github.com/alibaba/fa...

黑產與高危漏洞

隨着網絡技術不斷升級，網絡安全形勢日益嚴峻。近年來，數據泄漏、網絡敲詐等各種網絡安全事件頻發，給企業及社會發展帶來嚴重影響。而這些在網絡空間潛滋暗長的黑產，多數都與高危漏洞相關。

換句話說，利用軟件和硬件中存在的漏洞，已然成爲黑產攻陷各系統的主要手段。

企業管理員或者項目負責人要隨時關注漏洞發現與修復公告，對於存在的漏洞應及時安裝補丁進行修復，避免被利用入侵，形成損失。