的讯云用户，你好！

最近，腾讯云安全运营中心监控了fast JSON=1.2. 68版存在远程代码执行漏洞，漏洞一旦被利用，就可以直接获取服务器权限。 为了避免对商业造成影响，腾讯云安全建议尽快开展安全的自我调查。 在受影响的范围内，请迅速进行更新修复，以免被外部攻击者入侵。

Fastjson是阿里巴巴的开源JSON解析库，解析JSON格式的字符串。 支持将Java Bean序列化为JSON字符串，或将JSON字符串反序列化为Java Bean。

腾讯安全玄武实验室的研究人员发现，绕过autotype开关的限制，存在无法链式反序列化的本来就不可反序列化的安全风险类。 漏洞带来的危害与gadgets有关，gadgets使用的类必须包含在黑名单中，这个漏洞无法绕过黑名单的限制。

0. 风险等级

高度！

1. 漏洞描述

fastjson采用黑白列表的方法来防御非串行化漏洞。 结果，如果黑客继续挖掘新的非序列化Gadgets类，则即使关闭了autoType，也可以绕过黑白列表的防御机制，远程命令的执行可能会出现漏洞。 研究表明，该漏洞利用门槛低，可以绕过autoType的限制，风险影响较大。 AlibabaCloud紧急应对中心警告fastjson用户尽快采取安全措施，阻止漏洞攻击。

2. 影响版本

快速约翰逊=1.2. 68快速约翰逊，sec版本=sec9。 说明：安卓版本不受此漏洞的影响

3. 升级方案

升级到最新版本1.2.69或更高版本1.2.70:1.2.69https://千兆位.com/Alibaba /快速发布/标签

如果出现兼容性问题，请立即升级sec10版本；

4. safeMode加固

fastjson在1.2.68版之后引进了安全模式。 部署安全模式后，无论白名单还是黑名单，都不支持autoType。 在一定程度上可以缓解反序列化Gadgets系变种攻击。 (关闭autoType，注意评价对业务的影响)打开方法有3种

代码中的配置： ParserConfig.getGlobalInstance () .设置安全模式) ) true )； 添加JVM启动参数：-dfastjson.parser.safe模式=真。 如果有多个软件包名称前缀，请用逗号分隔。 从类路径的fastjson.properties文件中设置fast JSON.parser.safe模式=true。

附：两个版本描述

。

fastjson-1.2.70

fastjson-1.2.69

参考资料： https://Github.com/Alibaba/fast JSon/wiki/security _更新_ 2020 06 01