1. 説明:
Fastjson は、中国で広く使用されているオープンソースの高性能 JSON 解析および処理ライブラリです。 5 月 23 日、Fastjson はセキュリティ情報を正式に発行し、新たな逆シリアル化の脆弱性を修正したと発表しました。
Fastjson は、ブラック リストとホワイト リストに基づいて逆シリアル化の脆弱性を防御します。これらの防御メカニズムは、Fastjson 1.2.80 以前のバージョンではバイパスされる可能性があります。したがって、デフォルト構成では、アプリケーションまたはシステムが Fastjson を使用してユーザー制御可能な JSON 文字列を解析すると、リモート コード実行の侵害が発生する可能性があります。
2. 影響範囲:
Fastjson ≤ バージョン 1.2.80。
3. 解決策または提案:
3.1 最新バージョン 1.2.83 へのアップグレードhttps://github.com/alibaba/fastjson/releases/tag/1.2.83
このリリースには、オートタイプの動作の変更が含まれています。場合によっては、非互換性が発生する可能性があります。ご質問がある場合は、こちらにアクセスしてくださいhttps://github.com/alibaba/fastjson/issues を募集しましたヘルプ。
3.2 セーフモードの強化
fastjsonは1.2.68以降でsafeModeを導入しました。safeModeとして設定された場合、autoTypeはホワイトリストでもブラックリストでもサポートされず、デシリアライズGadgetsの亜種が攻撃されるのを防ぎます(autoTypeをオフにし、ビジネスへの影響を評価するよう注意してください)。
3.2.1 開封方法
参照するhttps://github.com/alibaba/fastjson/wiki…n_safemode
3.2.2 1.2.83 以降でセーフモードを使用する必要があるかどうか
1.2.83では今回発見された脆弱性が修正されている。セーフモードを有効にすると、autoType 機能が完全に無効になり、同様の問題が再び発生するのを避けることができます。互換性に問題がある可能性があります。ビジネスへの影響を十分に評価し、オープンに対応してください。
3.3 fastjson v2 へのアップグレード
fastjson v2 アドレスhttps://github.com/alibaba/fastjson2/releases
fastjson にはオープンソース バージョン 2.0 があります。バージョン 2.0 では、互換性を確保するためにホワイトリストが提供されなくなり、セキュリティが向上しました。 fastjson v2 コードが書き直され、パフォーマンスが大幅に向上しました。 1.x と完全な互換性はありません。アップグレードには厳密な互換性テストが必要です。アップグレードで問題が発生した場合は、以下を参照してください。https://github.com/alibaba/fastjson2/issues
参考元 >>https://hackertop.com/thread-2.html
元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/fastjsonのデシリアライゼーション-rceの脆弱性-html。
