大工网安告[2022]021号

一、情况分析

近日Fastjson发布安全公告，Fastjson已使用黑白名单用于防御反序列化漏洞,在特定条件下可绕过默认autoType关闭限制，攻击远程服务器，风险影响较大。建议Fastjson用户尽快采取安全措施保障系统安全。

（Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点，应用范围广泛。）

二、影响范围

特定依赖存在下影响 ≤1.2.80

三、处置建议

(1)升级到最新版本 1.2.83，该版本涉及autotype行为变更，在某些场景会出现不兼容的情况，如遇到问题可以到下方链接处寻求帮助。

下载地址：

https://github.com/alibaba/fastjson/releases/tag/1.2.83

帮助链接：

https://github.com/alibaba/fastjson/issues

(2)Fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持autoType，可杜绝反序列化Gadgets类变种攻击（关闭autoType时，需要评估其对业务的影响）

①开启方法参考：

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

②使用1.2.83之后的版本是否需要使用 safeMode,1.2.83修复了此次发现的漏洞，开启safeMode是完全关闭autoType功能，避免类似问题再次发生，这可能会有兼容问题，请充分评估对业务影响后开启。

(3)升级到Fastjson v2, Fastjson v2代码已经重写，性能有了很大提升，不完全兼容 1.x，升级需要做认真的兼容测试。

Fastjson v2 下载地址：

https://github.com/alibaba/fastjson2/releases