Java 漏洞 -Fastjson反序列化

gzhshan

Java又报漏洞

漏洞描述
5月23日，fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险，在特定条件下可绕过默认autoType关闭限制，从而反序列化有安全风险的类，攻击者利用该漏洞可实现在目标机器上的远程代码执行。

fastjson是开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到Java Bean。由于具有执行效率高的特点，应用范围广泛。

漏洞详情
漏洞名称: fastjson反序列化远程代码执行漏洞
漏洞编号: 暂无
漏洞类型: 远程任意代码执行
组件名称: fastjson
影响版本: fastjson ≤ 1.2.80
漏洞等级: 严重


官方升级：
目前官方已在最新版本1.2.83中修复了该漏洞，请受影响的用户尽快升级版本进行防护，官方下载链接：https://github.com/alibaba/fastjson/releases
升级步骤如下：
1. 备份原fastjson依赖库，避免升级失败的情况发生。
2. 将低版本的fastjson库替换为2.83版本即可
开发人员可通过配置Maven的方式对应用进行升级并编译发布，配置如下:
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.83</version>
</dependency>
注：该版本涉及autotype行为变更，在某些场景会出现不兼容的情况，若遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。