【安全通告】Fastjson <=1.2.62远程代码执行漏洞通告
摘要:
尊敬的腾讯云客户, 您好:
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean 。
Fastjson 1.2.62及之前版本由于缺少某些黑名单类过滤,导致攻击者可利用实现远程代码执行。
【风险等级】
高风险
【漏洞风险】
远程代码执行
【影响版本】
Fastjson <= 1.2.62
【安全版本】
截止公告发布,修复版本暂未发布,您可以采取下述【修复建议】中的缓解方案进行解决。
【修复建议】
目前官方暂未发布修复该漏洞的新版本,开启了autoType功能的受影响用户可通过关闭autoType来规避风险,另建议将JDK升级到最新版本。
autoType关闭方法:
1)方法一:修复代码关闭autoType
在项目源码中搜索如下代码,找到并将此行代码删除: ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
2)方法二:启动命令参数禁用autoType
在JVM中启动项目时,不添加如下参数: -Dfastjson.parser.autoTypeSupport=true:
【漏洞参考】
1)Fastjson官方:https://github.com/alibaba/fastjson
