【漏洞预警】Fastjson 远程代码执行漏洞

Fastjson是一个性能很好的 Java 语言实现的 JSON 解析器和生成器，来自阿里巴巴的工程师开发。

0x01 概述:

2017年3月15日，Fastjson官方发布安全公告，该公告介绍 Fastjson 在 1.2.24 以及之前版本存在代码执行漏洞代码执行漏洞，恶意攻击者可利用此漏洞进行远程代码执行，从而进一步入侵服务器，目前官方已经发布了最新版本，最新版本已经成功修复该漏洞。

0x02 漏洞详情：
漏洞编号：暂无
漏洞名称：Fastjson 远程代码执行漏洞
官方评级：高危
漏洞描述：
Fastjson 在 1.2.24 以及之前版本存在代码执行漏洞，当用户提交一个精心构造的恶意的序列化数据到服务器端时，Fastjson反序列化存在漏洞，可导致远程任意代码执行漏洞。
漏洞利用条件和方式：黑客可以远程代码执行成功利用该漏洞。
漏洞影响范围：1.2.24 及之前版本
开源应用影响：

Fastjson开源影响

0x03 PoC：
暂无

0x04 漏洞修复建议：
采用以下两种方式将fastjson升级到1.2.28或者更新版本：

1.Maven依赖配置更新
通过maven配置更新，使用最新版本，如下：

 com.alibaba fastjson 1.2.28

2. 直接下载更新
1.2.28版本下载地址：http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/

3.常见问题
(1) 升级遇到不兼容问题怎么办？
1.2.28已经修复了绝大多数兼容问题，但是总会有一些特殊的用法导致不兼容，如果你遇到不兼容问题，通过 https://github.com/alibaba/fastjson/wiki/incompatible_change_list 查看不兼容问题，链接的后面提供了遇到不兼容问题之后的使用相应的sec01版本解决办法。

(2)升级之后报错autotype is not support
安全升级包禁用了部分autotype的功能，也就是”@type“这种指定类型的功能会被限制在一定范围内使用。如果你使用场景中包括了这个功能，https://github.com/alibaba/fastjson/wiki/enable_autotype 这里有一个介绍如何添加白名单或者打开autotype功能。

(3)通过配置打开autotype之后是否存在安全漏洞
在1.2.28以及所有的.sec01版本中，有多重保护，但打开autotype之后仍会存在风险，不建议打开，而是使用一个较小范围的白名单。

(4)Android环境使用是否需要升级
目前未发现漏洞对Android系统产生影响，在Android环境中使用不用升级。
(5)升级遇到问题希望提供支持怎么办？

作者愿意帮助大家一起解决问题，如果遇到文档中没说明到的问题，请通过如下方式联系作者：
钉钉号：wenshaojin2017
微信号：wenshaojin
微博：http://weibo.com/wengaotie

0x05 参考:
https://bbs.aliyun.com/read/309931.html
https://github.com/alibaba/fastjson/wiki/security_update_20170315