Fastjson遠程代碼執行0day漏洞

最近接到領導要求，對應用系統引用fastjson進行版本升級漏洞修復。閒暇之際找了些資料供你們參考。

前段時間，阿里云云盾應急響應中心監測到FastJSON存在0day漏洞，攻擊者能夠利用該漏洞繞過黑名單策略進行遠程代碼執行。

FastJson介紹

Fastjson是阿里巴巴的開源JSON解析庫，它能夠解析JSON格式的字符串，支持將Java Bean序列化爲JSON字符串，也能夠從JSON字符串反序列化到JavaBean。

漏洞名稱

FastJSON遠程代碼執行0day漏洞

漏洞描述

利用該0day漏洞，惡意攻擊者能夠構造攻擊請求繞過FastJSON的黑名單策略。例如，攻擊者經過精心構造的請求，遠程讓服務端執行指定命令（如下示例中成功運行計算器程序）。

漏洞危害

經鬥象安全應急響應團隊分析Fastjson多處補丁修補出現紕漏，Fastjson在1.2.48版本如下，無需Autotype開啓，攻擊者便可經過精心構造的請求包在使用Fastjson的服務器上進行遠程代碼執行。

影響範圍

FastJSON 1.2.48如下版本

修復方案

1.升級Fastjosn到1.2.58版本，並關閉Autotype；

2.WAF攔截Json請求中的多種編碼形式的‘@type’，‘\u0040type’等字樣；

3.建議儘量使用Jackson或者Gson；

4.升級JDK版本到8u121，7u13，6u141以上。

官方解決方案

升級至FastJSON最新版本，建議升級至1.2.58版本。

說明 強烈建議不在本次影響範圍內的低版本FastJSON也進行升級。

升級方法

您能夠經過更新Maven依賴配置，升級FastJSON至最新版本（1.2.58版本）。

<dependency>
 <groupId>com.alibaba</groupId>
 <artifactId>fastjson</artifactId>
 <version>1.2.58</version>
</dependency>
複製代碼

防禦建議

Web應用防火牆的Web攻擊防禦規則中已默認配置相應規則防禦該FastJSON 0day漏洞，啓用Web應用防火牆的Web應用攻擊防禦功能便可。

說明 若是您的業務使用自定義規則組功能自定義所應用的防禦規則，請務必在自定義規則組中添加如下規則：

更多參考

直接訪問該項目的開源地址：

github.com/alibaba/fas…

note:一天要作三件事，第一要笑，第二要微笑，第三要哈哈大笑。