Fastjson远程代码执行0day漏洞

最近接到领导要求，对应用系统引用fastjson进行版本升级漏洞修复。闲暇之际找了些资料供你们参考。

前段时间，阿里云云盾应急响应中心监测到FastJSON存在0day漏洞，攻击者能够利用该漏洞绕过黑名单策略进行远程代码执行。

FastJson介绍

Fastjson是阿里巴巴的开源JSON解析库，它能够解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也能够从JSON字符串反序列化到JavaBean。

漏洞名称

FastJSON远程代码执行0day漏洞

漏洞描述

利用该0day漏洞，恶意攻击者能够构造攻击请求绕过FastJSON的黑名单策略。例如，攻击者经过精心构造的请求，远程让服务端执行指定命令（如下示例中成功运行计算器程序）。

漏洞危害

经斗象安全应急响应团队分析Fastjson多处补丁修补出现纰漏，Fastjson在1.2.48版本如下，无需Autotype开启，攻击者便可经过精心构造的请求包在使用Fastjson的服务器上进行远程代码执行。

影响范围

FastJSON 1.2.48如下版本

修复方案

1.升级Fastjosn到1.2.58版本，并关闭Autotype；

2.WAF拦截Json请求中的多种编码形式的‘@type’，‘\u0040type’等字样；

3.建议尽量使用Jackson或者Gson；

4.升级JDK版本到8u121，7u13，6u141以上。

官方解决方案

升级至FastJSON最新版本，建议升级至1.2.58版本。

说明 强烈建议不在本次影响范围内的低版本FastJSON也进行升级。

升级方法

您能够经过更新Maven依赖配置，升级FastJSON至最新版本（1.2.58版本）。

<dependency>
 <groupId>com.alibaba</groupId>
 <artifactId>fastjson</artifactId>
 <version>1.2.58</version>
</dependency>
复制代码

防御建议

Web应用防火墙的Web攻击防御规则中已默认配置相应规则防御该FastJSON 0day漏洞，启用Web应用防火墙的Web应用攻击防御功能便可。

说明 若是您的业务使用自定义规则组功能自定义所应用的防御规则，请务必在自定义规则组中添加如下规则：

更多参考

直接访问该项目的开源地址：

github.com/alibaba/fas…

note:一天要作三件事，第一要笑，第二要微笑，第三要哈哈大笑。