麻了!Fastjson 再曝反序列化漏洞
回復(fù)架構(gòu)師獲取資源
大家好,我是你們的朋友架構(gòu)君,一個(gè)會(huì)寫(xiě)代碼吟詩(shī)的架構(gòu)師。
'javajgs.com';
近日 Fastjson Develop Team 發(fā)現(xiàn) fastjson 1.2.80及以下存在新的風(fēng)險(xiǎn),請(qǐng)關(guān)注。
1. 風(fēng)險(xiǎn)描述
fastjson已使用黑白名單用于防御反序列化漏洞,經(jīng)研究該利用在特定條件下可繞過(guò)默認(rèn)autoType關(guān)閉限制,攻擊遠(yuǎn)程服務(wù)器,風(fēng)險(xiǎn)影響較大。
建議fastjson用戶盡快采取安全措施保障系統(tǒng)安全。
2. 影響版本
特定依賴存在下影響 ≤1.2.80
3. 升級(jí)方案
3.1升級(jí)到最新版本1.2.8
https://github.com/alibaba/fastjson/releases/tag/1.2.83
該版本涉及autotype行為變更,在某些場(chǎng)景會(huì)出現(xiàn)不兼容的情況。
3.2 safeMode加固
fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,無(wú)論白名單和黑名單,都不支持autoType,可杜絕反序列化Gadgets類變種攻擊(關(guān)閉autoType注意評(píng)估對(duì)業(yè)務(wù)的影響)。
3.2.1 開(kāi)啟方法
參考:
https://github.com/alibaba/fastjson/wiki/fastjson_safemode
3.2.2 使用1.2.83之后的版本是否需要使用safeMode
1.2.83修復(fù)了此次發(fā)現(xiàn)的漏洞,開(kāi)啟safeMode是完全關(guān)閉autoType功能,避免類似問(wèn)題再次發(fā)生,這可能會(huì)有兼容問(wèn)題,請(qǐng)充分評(píng)估對(duì)業(yè)務(wù)影響后開(kāi)啟。
3.2.3 開(kāi)啟了safeMode是否需要升級(jí)
開(kāi)啟safeMode不受本次漏洞影響,可以不做升級(jí)。
3.3 升級(jí)到fastjson v2
fastjson v2 地址:
https://github.com/alibaba/fastjson2/releases
fastjson已經(jīng)開(kāi)源2.0版本,在2.0版本中,不再為了兼容提供白名單,提升了安全性。fastjson v2代碼已經(jīng)重寫(xiě),性能有了很大提升,不完全兼容1.x,升級(jí)需要做認(rèn)真的兼容測(cè)試。
3.4 noneautotype版本
在5月26日后,為了方便使用老版本用戶兼容安全加固需求,提供了noneautotype版本,效果和1.2.68的safeMode效果一樣,完全禁止autotype功能。
使用noneautotype版本的用戶也不受此次漏洞影響。
https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.8_noneautotype/ https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.48_noneautotype/ https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.54_noneautotype/ https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.60_noneautotype/ https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.71_noneautotype/
盡快修復(fù)保平安吧!
這些年小編給你分享過(guò)的干貨
2.優(yōu)質(zhì)ERP系統(tǒng)帶進(jìn)銷存財(cái)務(wù)生產(chǎn)功能(附源碼)
3.優(yōu)質(zhì)SpringBoot帶工作流管理項(xiàng)目(附源碼)
4.最好用的OA系統(tǒng),拿來(lái)即用(附源碼)
5.SBoot+Vue外賣系統(tǒng)前后端都有(附源碼)
6.SBoot+Vue可視化大屏拖拽項(xiàng)目(附源碼)
轉(zhuǎn)發(fā)在看就是最大的支持??