近日，武漢云之巔應(yīng)急響應(yīng)中心監(jiān)測到fastjson官方git披露fastjson存在最新反序列化遠程代碼執(zhí)行漏洞攻擊Gadgets，利用該最新的Gadgets，攻擊者可遠程執(zhí)行服務(wù)器任意命令，或者造成SSRF漏洞，風(fēng)險較大。官方已發(fā)布最新版本1.2.67修復(fù)該漏洞，請使用到fastjson的用戶盡快升級至安全版本。

漏洞特征

遠程代碼執(zhí)行

漏洞詳情

fastjson采用黑白名單的方法來防御反序列化漏洞，導(dǎo)致當(dāng)黑客不斷發(fā)掘新的可攻擊的反序列化Gadgets類時，則可能可以繞過黑白名單防御機制，造成遠程命令執(zhí)行或者SSRF漏洞。阿里云應(yīng)急響應(yīng)中心提醒fastjson用戶盡快采取安全措施阻止漏洞攻擊。

影響版本

fastjson < 1.2.67
fastjson sec版本 < sec09

安全版本

fastjson >= 1.2.67
fastjson sec版本>= sec09

安全建議

較低版本升級至最新版本1.2.67可能會出現(xiàn)兼容性問題，建議升級至特定版本的sec09 bugfix版本

升級至安全版本，參考下載鏈接：http://repo1.maven.org/maven2/com/alibaba/fastjson/

注意：
fastjson漏洞檢測規(guī)則是通過判定機器運行時的jar包中是否存在漏洞版本的fastjson組件，無法精準(zhǔn)確認漏洞有效攻擊面，實際是否真實受漏洞影響還需用戶根據(jù)自身業(yè)務(wù)判斷。