fastjson < 1.2.67 反序列化和SSRF漏洞

近日，武漢雲之巅應急響應中心監測到fastjson官方git披露fastjson存在最新反序列化遠程代碼執行漏洞攻擊Gadgets，利用該最新的Gadgets，攻擊者可遠程執行服務器任意命令，或者造成(chéng)SSRF漏洞，風險較大。官方已發(fā)布最新版本1.2.67修複該漏洞，請使用到fastjson的用戶盡快升級至安全版本。

漏洞特征

遠程代碼執行

漏洞詳情

fastjson采用黑白名單的方法來防禦反序列化漏洞，導緻當黑客不斷發(fā)掘新的可攻擊的反序列化Gadgets類時，則可能(néng)可以繞過(guò)黑白名單防禦機制，造成(chéng)遠程命令執行或者SSRF漏洞。阿裡(lǐ)雲應急響應中心提醒fastjson用戶盡快采取安全措施阻止漏洞攻擊。

影響版本

fastjson < 1.2.67
fastjson sec版本 < sec09

安全版本

fastjson >= 1.2.67
fastjson sec版本>= sec09

安全建議

較低版本升級至最新版本1.2.67可能(néng)會出現兼容性問題，建議升級至特定版本的sec09 bugfix版本

升級至安全版本，參考下載鏈接：http://repo1.maven.org/maven2/com/alibaba/fastjson/

注意：
fastjson漏洞檢測規則是通過(guò)判定機器運行時的jar包中是否存在漏洞版本的fastjson組件，無法精準确認漏洞有效攻擊面(miàn)，實際是否真實受漏洞影響還(hái)需用戶根據自身業務判斷。