近日,阿里巴巴公司修复了其开发的开源Java组件Fastjson的一处反序列化远程代码执行漏洞,攻击者利用此漏洞可在目标服务器上实现任意代码执行。Fastjson组件用于Java对象和JSON格式字符串的快速转换,在Java系统中应用广泛。请各单位排查相关系统是否使用了受此漏洞影响的Fastjson组件,参考处置建议,及时修复漏洞,消除安全隐患。
影响范围:
Fastjson<=1.2.80
处置建议:
1.目前阿里巴巴公司已发布Fastjson 1.2.83版本修复此漏洞,可升级更新。下载地址:https://github.com/alibaba/Fastjson/releases/tag/1.2.83。
2.也可经兼容性测试后升级至Fastjson v2版本。下载地址:https://github.com/alibaba/fastjson2/releases。
3.如暂时不能升级的用户可参考临时缓解措施:在Fastjson 1.2.68版本及之后的版本可通过开启SafeMode配置来关闭AutoType功能,防范反序列化攻击。需要注意评估关闭AutoType功能对业务的影响。