鑽石舞台

近日 Fastjson Develop Team 發現 fastjson 1.2.80及以下存在新的風險，請關注。

1. 風險描述

fastjson已使用黑白名單用於防禦反序列化漏洞，經研究該利用在特定條件下可繞過默認autoType關閉限制，攻擊遠程服務器，風險影響較大。

建議fastjson用戶儘快採取安全措施保障系統安全。

2. 影響版本

特定依賴存在下影響 ≤1.2.80

3. 升級方案3.1升級到最新版本1.2.8

https://github.com/alibaba/fastjson/releases/tag/1.2.83

該版本涉及autotype行為變更，在某些場景會出現不兼容的情況。

3.2 safeMode加固

fastjson在1.2.68及之後的版本中引入了safeMode，配置safeMode後，無論白名單和黑名單，都不支持autoType，可杜絕反序列化Gadgets類變種攻擊（關閉autoType注意評估對業務的影響）。

3.2.1 開啟方法

參考：

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

3.2.2 使用1.2.83之後的版本是否需要使用safeMode

1.2.83修復了此次發現的漏洞，開啟safeMode是完全關閉autoType功能，避免類似問題再次發生，這可能會有兼容問題，請充分評估對業務影響後開啟。

3.2.3 開啟了safeMode是否需要升級

開啟safeMode不受本次漏洞影響，可以不做升級。

3.3 升級到fastjson v2

fastjson v2 地址：

https://github.com/alibaba/fastjson2/releases

fastjson已經開源2.0版本，在2.0版本中，不再為了兼容提供白名單，提升了安全性。fastjson v2代碼已經重寫，性能有了很大提升，不完全兼容1.x，升級需要做認真的兼容測試。

3.4 noneautotype版本

在5月26日後，為了方便使用老版本用戶兼容安全加固需求，提供了noneautotype版本，效果和1.2.68的safeMode效果一樣，完全禁止autotype功能。

使用noneautotype版本的用戶也不受此次漏洞影響。

儘快修復保平安吧！

- EOF -

看完本文有收穫？請轉發分享給更多人

關注「ImportNew」，提升Java技能

點讚和在看就是最大的支持❤️