漏洞简述
2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,风险影响较大。建议使用了 fastjson 的用户尽快采取安全措施保障系统安全。
漏洞评级:高危
影响组件:com.alibaba:fastjson
影响版本:<= 1.2.80
墨菲安全通过murphysec开源工具对github 7000多个java开源项目进行了检测,发现本次漏洞至少影响1031个项目,其中star大于500的项目达到290个。
/jeecgboot/jeecg-boot
/alibaba/Sentinel
/xkcoding/spring-boot-demo
/Tencent/APIJSON
/apache/rocketmq
/alibaba/DataX
/zhaojun1998/zfile
/alibaba/jetcache
/alibaba/yugong
/alibaba/GraphScope
等项目均受到此次漏洞影响;
处置建议
方式一:
升级到1.2.83版本,该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,需要注意。
方式二:
开启safeMode来禁用autoType,开启方式参考官方说明:https://github.com/alibaba/fastjson/wiki/fastjson_safemode
方式三:
使用fastjson V2版本,不完全兼容1.x,升级需要做认真的兼容测试。
如何快速排查
墨菲安全提供了一系列检测工具,能够帮助您快速排查项目是否收到影响。
墨菲安全IDE插件
在 IDE 中即可检测代码依赖的安全问题,并通过准确的修复方案和一键修复功能,快速解决安全问题。
使用方式:
IDE插件中搜索“murphysec”即可安装
选择“点击开始扫描”,即可检测出代码中存在哪些安全缺陷组件
墨菲安全开源CLI工具
使用CLI工具,在命令行检测指定目录代码的依赖安全问题
工具地址:https://github.com/murphysecurity/murphysec
具体使用方式可参考项目 README 或官方文档
说明:检测仅发生在您的本地环境中,不会上传任何代码至服务端
以上几种检测方式均可在墨菲安全平台上查看详细的检测结果,并可以查看项目的直接或间接依赖信息。
参考链接:
https://github.com/alibaba/fastjson/wiki/security_update_20220523
