Java 库 fastjson 发布关于“反序列化远程代码执行漏洞”安全公告

昨天我们报导了 fastjson 补曝出存在高危远程代码执行漏洞，今天 fastjson 官方发布了安全公告：https://github.com/alibaba/fastjson/wiki/security_update_20200601以下为完整公告引用：安全公告20200601近日，阿里云应急响应中心监测到fastjson爆发新的反序列化远程代码执行漏洞，黑客利用漏洞，可绕过autoType限制，直接远程执行任意命令攻击服务器，风险极大。漏洞描述fastjson采用黑白名单的方法来防御反序列化漏洞，导致当黑客不断发掘新的反序列化Gadgets类时，在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制，造成远程命令执行漏洞。经研究，该漏洞利用门槛较低，可绕过autoType限制，风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击。影响版本fastjson <=1.2.68fa