0x01 脆弱性の概要
2022 年 5 月 24 日、Alibaba Cloud は正式に通知を発行しました。
fastjson はデシリアライゼーションの脆弱性を防ぐためにブラック リストとホワイト リストを使用していますが、調査の結果、このエクスプロイトは特定の条件下でデフォルトの autoType シャットダウン制限を回避し、リモート サーバーを攻撃する可能性があり、より大きなリスク影響を及ぼします。fastjson ユーザーは、システムのセキュリティを確保するために、できるだけ早くセキュリティ対策を講じることをお勧めします。
特定の依存関係が存在する場合、効果 ≤ 1.2.80。
0x02 影響範囲
特定の依存関係が存在する場合、1.2.80 以下のすべてのバージョンに影響します。
0x03 廃棄措置
1. 最新バージョン 1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83 にアップグレードします。このバージョンにはオートタイプの動作の変更が含まれており、一部のシナリオでは非互換性が発生する可能性があります。問題が発生した場合は、https://github.com/alibaba/fastjson/issues にアクセスしてヘルプを参照してください。
2. fastjson は 1.2.68 以降のバージョンでセーフモードを導入しましたセーフモードを設定した後は、ホワイトリストまたはブラックリストに関係なく、autoType がサポートされなくなり、逆シリアル化ガジェットの亜種攻撃を防ぐことができます (autoType をオフにし、ビジネスへの影響の評価に注意してください) 。有効にする方法については、https://github.com/alibaba/fastjson/wiki/fastjson_safemode を参照してください。1.2.83では、今回見つかった脆弱性を修正しています。セーフモードを有効にすると、同様の問題が再発することを避けるため、autoType機能が完全に無効になります。これにより、互換性の問題が発生する可能性があります。有効にする前に、業務への影響を十分に評価してください。
3. fastjson v2 にアップグレードできます。https://github.com/alibaba/fastjson2/releases を参照してください。
参考リンク:Alibaba Cloud脆弱性ライブラリ
| security_update_20220523 · alibaba/fastjson Wiki · GitHub |