克日，龙8国际电子平台信息清静威胁情报中心监测到阿里巴巴公司开源Java开发组件Fastjson保存远程代码执行误差。攻击者使用上述误差可远程执行恣意代码。现在官方已宣布清静版本，龙8国际电子平台信息清静应急中心建议受影响单位和用户连忙升级至清静版本。

一、误差形貌

Fastjson是阿里巴巴开源的Java工具和JSON名堂字符串的快速转换的工具库。它可以剖析JSON名堂的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。相关Fastjson版本保存远程代码执行误差，攻击者可以在特定依赖下使用此误差绕过默认autoType关闭限制，从而反序列化有关清静危害的类。在特定条件下可能导致远程代码执行。

二、影响规模

受影响的产品及版本：

特定依赖保存下影响 Fastjson ≤1.2.80

三、清静提防建议

龙8国际电子平台信息提醒各相关单位和用户要强化危害意识，切实增强清静提防：

1、现在黑盾Web应用防火墙、黑盾入侵检测系统、黑盾入侵防御系统等清静装备支持误差防御及相关误差的检测：

如相关用户装备规则库未升级至最新规则库，请实时升级装备规则库版本，相关特征库已宣布到官网

http://www.si.net.cn/Technical/upgrade.html

2、现在官方已宣布清静版本：1.2.83，龙8国际电子平台信息提醒各相关单位和用户要强化危害意识，切实增强清静提防：

建议用户尽快自查，对受影响的版本实时升级至最新版本1.2.83：https://github.com/alibaba/fastjson/releases/tag/1.2.83

3、设置safeMode

Fastjson在 1.2.68 及之后的版本中引入了 safeMode，设置 safeMode 后，无论白名单和黑名单，都不支持 autoType，可杜绝此类反序列化误差攻击（关闭autoType注重评估对营业的影响）。因此 1.2.68 及之后版本的用户若无法通过版本升级来修复误差，可思量设置开启 safeMode，如下提供三种设置SafeMode的要领：

a、在响应有引入Fastjson组件的代码中，设置加入如下代码：ParserConfig.getGlobalInstance().setSafeMode(true)

b、通过fastjson.properties文件设置，在设置文件中加入如下：fastjson.parser.safeMode=true

c、加上JVM启动参数：-Dfastjson.parser.safeMode=true

详细设置要领可参考：https://github.com/alibaba/fastjson/wiki/fastjson_safemode

附参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2022-40233