UCloud-202005-004:Fastjson <1.2.69反序列化远程代码执行漏洞安全警告

发布时间  2020-05-28

更新时间  2020-05-28

漏洞等级  High

CVE编号  

漏洞详情

Fastjson存在远程代码执行漏洞，autotype开关的限制可以被绕过，链式的反序列化攻击者精心构造反序列化利用链，最终达成远程命令执行的后果。此漏洞本身无法绕过Fastjson的黑名单限制，需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。

影响范围

Fastjson < 1.2.69

Fastjson sec版本 < sec10

android版本不受此漏洞影响

修复方案

1.升级至安全版本，参考以下链接：

https://repo1.maven.org/maven2/com/alibaba/fastjson/

注意：较低版本升级至最新版本1.2.69可能会出现兼容性问题，建议升级至特定版本的sec10 bugfix版本，具体参考：

https://github.com/alibaba/fastjson/wiki/security_update_20200601

2.fastjson加固

fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持autoType，可一定程度上缓解反序列化Gadgets类变种攻击，开启方法参考：

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

注意：safeMode 会完全禁用 autotype，无视白名单，请注意评估对业务影响;

3.使用UCloud WAF进行安全防御：

 https://www.ucloud.cn/site/product/uewaf.html

参考链接

https://github.com/alibaba/fastjson/

https://github.com/alibaba/fastjson/releases/tag/1.2.69