麻了!Fastjson 再曝反序列化漏洞。。
來源:? Alibaba Fastjson Develop Team
github.com/alibaba/fastjson/wiki/security_update_20220523
近日 Fastjson Develop Team 發(fā)現(xiàn) fastjson 1.2.80及以下存在新的風險,請關(guān)注。
1. 風險描述
fastjson已使用黑白名單用于防御反序列化漏洞,經(jīng)研究該利用在特定條件下可繞過默認autoType關(guān)閉限制,攻擊遠程服務(wù)器,風險影響較大。
建議fastjson用戶盡快采取安全措施保障系統(tǒng)安全。
2. 影響版本
特定依賴存在下影響 ≤1.2.80
3. 升級方案
3.1升級到最新版本1.2.8
https://github.com/alibaba/fastjson/releases/tag/1.2.83
該版本涉及autotype行為變更,在某些場景會出現(xiàn)不兼容的情況。
3.2 safeMode加固
3.2.1 開啟方法
參考:
https://github.com/alibaba/fastjson/wiki/fastjson_safemode
3.2.2 使用1.2.83之后的版本是否需要使用safeMode
1.2.83修復(fù)了此次發(fā)現(xiàn)的漏洞,開啟safeMode是完全關(guān)閉autoType功能,避免類似問題再次發(fā)生,這可能會有兼容問題,請充分評估對業(yè)務(wù)影響后開啟。
3.2.3 開啟了safeMode是否需要升級
開啟safeMode不受本次漏洞影響,可以不做升級。
3.3 升級到fastjson v2
fastjson v2 地址:
https://github.com/alibaba/fastjson2/releases
3.4 noneautotype版本
在5月26日后,為了方便使用老版本用戶兼容安全加固需求,提供了noneautotype版本,效果和1.2.68的safeMode效果一樣,完全禁止autotype功能。
https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.8_noneautotype/ https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.48_noneautotype/ https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.54_noneautotype/ https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.60_noneautotype/ https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.71_noneautotype/
盡快修復(fù)保平安吧!
完
我的新書《深入理解Java核心技術(shù)》已經(jīng)上市了,上市后一直蟬聯(lián)京東暢銷榜中,目前正在6折優(yōu)惠中,想要入手的朋友千萬不要錯過哦~長按二維碼即可購買~
長按掃碼享受6折優(yōu)惠
往期推薦
IDEA 官宣全新默認 UI,太震撼了!!
幾行代碼,搞定 SpringBoot 接口惡意刷新和暴力請求!
消息隊列原理和選型:Kafka、RocketMQ 、RabbitMQ 和 ActiveMQ