Fastjson远程代码执行漏洞通告

# 漏洞公告 2020-05-29 10:02 0 2,025 来源：启明星辰

0x00 漏洞概述

CVE ID	暂无	时间	2020-05-29
类型	RCE	等级	高危
远程利用	是	影响范围	Fastjson <= 1.2.68

0x01 漏洞详情

Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。

2020年5月28日，Github发布了有关Fastjson <= 1.2.68版本存在远程代码执行漏洞的公告，该漏洞可绕过autoType开关的限制，攻击者精心构造反序列化利用链，实现在目标机器上的远程代码执行。此漏洞本身无法绕过Fastjson的黑名单限制，需要配合不在黑名单中的反序列化利用链才能完成漏洞利用。

Fastjson版本检测命令：

lsof | grep fastjson

0x02 处置建议

截止到目前，官方还未发布1.2.69版本，建议广大用户及时关注官方更新通告，做好资产自查，以免遭受黑客攻击。

临时措施：

受影响用户可通过禁用autoType来规避风险，另外建议将JDK升级到最新版本。

由于autotype开关的限制可被绕过，请受影响用户升级fastjson至1.2.68版本，通过开启safeMode配置完全禁用autoType。( 注意：safeMode会完全禁用autotype，无视白名单，请注意评估对业务影响)三种配置SafeMode的方式如下:

 在代码中配置：

ParserConfig.getGlobalInstance().setSafeMode(true);

 加上JVM启动参数：如果有多个包名前缀，可用逗号隔开。

-Dfastjson.parser.safeMode=true

 通过fastjson.properties文件配置：通过类路径的fastjson.properties文件来配置，配置方式如下：