Fastjson 역직렬화 원격 코드 실행 취약점

1. 설명:

Fastjson은 중국에서 널리 사용되는 오픈 소스 고성능 JSON 구문 분석 및 처리 라이브러리입니다. 5월 23일, Fastjson은 공식적으로 보안 공지를 발표하여 새로운 역직렬화 취약점을 수정했다고 밝혔습니다.

Fastjson은 블랙리스트와 화이트리스트를 기반으로 역직렬화 취약점을 방어합니다. 이러한 방어 메커니즘은 Fastjson 1.2.80 및 이전 버전에서 우회할 수 있습니다. 따라서 기본 구성에서 애플리케이션이나 시스템이 Fastjson을 사용하여 사용자가 제어할 수 있는 JSON 문자열을 구문 분석하면 원격 코드 실행이 손상될 수 있습니다.

2. 영향 범위:

Fastjson ≤ 버전 1.2.80.

3. 솔루션 또는 제안:

3.1 최신 버전 1.2.83으로 업그레이드https://github.com/alibaba/fastjson/releases/tag/1.2.83
이 릴리스에는 자동 입력 동작이 변경되었습니다. 어떤 경우에는 비호환성이 발생할 수 있습니다. 질문이 있으시면 다음으로 이동하실 수 있습니다.https://github.com/alibaba/fastjson/issues 검색돕다.

3.2 안전 모드 강화
1.2.68 이상에서 safeMode를 도입했습니다. safeMode로 구성하면 화이트리스트나 블랙리스트에서 자동 유형이 지원되지 않으므로 역직렬화 가젯 변형이 공격받지 않습니다(자동 유형을 끄고 비즈니스에 미치는 영향을 평가하도록 주의하세요).

3.2.1 개통방법
인용하다https://github.com/alibaba/fastjson/wiki…n_safemode

3.2.2 1.2.83 이후에 safeMode를 사용해야 하는지 여부
1.2.83에서는 이번에 발견된 취약점이 수정되었습니다. safeMode를 켜는 것은 유사한 문제가 다시 발생하지 않도록 autoType 기능을 완전히 끄는 것입니다. 호환성 문제가 있을 수 있습니다. 귀하의 비즈니스에 미치는 영향을 충분히 평가하고 공개적으로 답변해 주십시오.

3.3 fastjson v2로 업그레이드
fastjson v2 주소https://github.com/alibaba/fastjson2/releases

fastjson에는 오픈 소스 버전 2.0이 있습니다. 버전 2.0에서는 호환성을 위해 더 이상 화이트리스트가 제공되지 않으므로 보안이 향상됩니다. fastjson v2 코드가 다시 작성되었으며 성능이 크게 향상되었습니다. 1.x와 완전히 호환되지 않습니다. 업그레이드에는 엄격한 호환성 테스트가 필요합니다. 업그레이드에 문제가 있는 경우에는 다음을 참고하세요.https://github.com/alibaba/fastjson2/issues

참고자료 >>https://hackertop.com/thread-2.html