Fastjson再曝反序列化漏洞，网友：Bugson又来了！

近日，Fastjson Develop Team 发布修复了 Fastjson 1.2.80 及之前版本存在的安全风险，该安全风险可能导致反序列化漏洞。

漏洞描述

Fastjson 是阿里巴巴开源的 Java 对象和 JSON 格式字符串的快速转换的工具库。

Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞，经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制，攻击远程服务器，风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全。

影响范围

Fastjson <= 1.2.80，如已开启safemode则不受该漏洞影响

修复建议

参考漏洞影响范围，目前 Fastjson Develop Team 已公布漏洞修复方案，请参考以下修复建议或官方文档进行修复：https://github.com/alibaba/fastjson/wiki/security_update_20220523

升级到最新版本1.2.83

升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83

该版本涉及autotype行为变更，在某些场景会出现不兼容的情况，如遇遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。

safeMode 加固

Fastjson 在1.2.68及之后的版本中引入了 safeMode，配置 safeMode 后，无论白名单和黑名单，都不支持 autoType，可杜绝反序列化Gadgets类变种攻击（关闭 autoType 注意评估对业务的影响），可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 查看开启方法。

升级到 Fastjson v2

Fastjson v2地址 https://github.com/alibaba/fastjson2/releases

Fastjson 已经开源2.0版本，在2.0版本中，不再为了兼容提供白名单，提升了安全性。Fastjson v2 代码已经重写，性能有了很大提升，不完全兼容1.x，升级需要做认真的兼容测试。升级遇到问题，可以在 https://github.com/alibaba/fastjson2/issues 寻求帮助。

来源 | https://unsafe.sh/go-112793.html

我们创建了一个高质量的技术交流群，与优秀的人在一起，自己也会优秀起来，赶紧点击加群，享受一起成长的快乐。另外，如果你最近想跳槽的话，年前我花了2周时间收集了一波大厂面经，节后准备跳槽的可以点击这里领取！

推荐阅读

• 注意！spring.factories 将被弃用，快来Get新写法！
• 删除所有jQuery依赖后，性能起飞！
• Java中多行字符串如何写更舒适？

··································

你好，我是程序猿DD，10年开发老司机、阿里云MVP、腾讯云TVP、出过书创过业、国企4年互联网6年。从普通开发到架构师、再到合伙人。一路过来，给我最深的感受就是一定要不断学习并关注前沿。只要你能坚持下来，多思考、少抱怨、勤动手，就很容易实现弯道超车！所以，不要问我现在干什么是否来得及。如果你看好一个事情，一定是坚持了才能看到希望，而不是看到希望才去坚持。相信我，只要坚持下来，你一定比现在更好！如果你还没什么方向，可以先关注我，这里会经常分享一些前沿资讯，帮你积累弯道超车的资本。

点击领取2022最新10000T学习资料