引言

昨天，我收到了集团安全部门的告警消息：Fastjson≤1.2.80版本存在反序列化漏洞，好家伙，着手开搞，这又是一个不眠夜的开始，哦，为什么说“又”呢？还记得去年12月份log4j2报过重大安全漏洞……

风险描述

fastjson已使用黑白名单用于防御序列化漏洞，经研究该利用在特定条件下可绕过默认autoType关闭限制，攻击远程服务器，风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全

影响版本

Fastjson≤1.2.80

解决方案1：升级到最新版本1.2.83

注意，该版本涉及autotype行为变更，在某些场景会出现不兼容弄的情况。

下载地址：

https://github.com/alibaba/fastjson/releases/tag/1.2.83

解决方案2：safeMode加固

fastjson在1.2.68级之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持autoType，可杜绝反序列化Gadgets类变种攻击（关闭autoType注意评估对业务的影响）。

开启方法：

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

1.2.83修复了此次发现的漏洞，开启safeMode是完全关闭autoType功能，避免类似问题再次发生，这可能会有兼容问题，请充分评估对业务影响后开启。

解决方案3：升级到fastjson v2

fastjson已经开源2.0版本，在2.0版本中，不再为了兼容提供白名单，提升了安全性。fastjson v2代码已经重写，性能有了很大提升，不完全兼容1.x，升级需要做认真的兼容测试。

下载地址：https://github.com/alibaba/fastjson2/releases

写在最后

好兄弟可以点赞并关注我的公众号“javaAnswer”，全部都是干货。

本文禁止转载或摘编

安全漏洞 Fastjson