<kbd id="afajh"><form id="afajh"></form></kbd>
<strong id="afajh"><dl id="afajh"></dl></strong>
    2. 

    <del id="afajh"><form id="afajh"></form></del>
    

    5. 

        1. <th id="afajh"><progress id="afajh"></progress></th>

          <b id="afajh"><abbr id="afajh"></abbr></b>
          <th id="afajh"><progress id="afajh"></progress></th>
          麻了!Fastjson 再曝反序列化漏洞。。
          共
                1660字,需瀏覽
                    4分鐘
                
           ·
          2022-05-31 20:48
          
            
          程序員的成長(zhǎng)之路
          互聯(lián)網(wǎng)/程序員/技術(shù)/資料共享?
          關(guān)注

          閱讀本文大概需要 2.8 分鐘。
          來源:? Alibaba Fastjson Develop Team
          github.com/alibaba/fastjson/wiki/security_update_20220523
          近日 Fastjson Develop Team 發(fā)現(xiàn) fastjson 1.2.80及以下存在新的風(fēng)險(xiǎn),請(qǐng)關(guān)注。
          1. 風(fēng)險(xiǎn)描述
          fastjson已使用黑白名單用于防御反序列化漏洞,經(jīng)研究該利用在特定條件下可繞過默認(rèn)autoType關(guān)閉限制,攻擊遠(yuǎn)程服務(wù)器,風(fēng)險(xiǎn)影響較大。
          建議fastjson用戶盡快采取安全措施保障系統(tǒng)安全。
          2. 影響版本
          特定依賴存在下影響 ≤1.2.80
          3. 升級(jí)方案
          3.1升級(jí)到最新版本1.2.8
          https://github.com/alibaba/fastjson/releases/tag/1.2.83
          該版本涉及autotype行為變更,在某些場(chǎng)景會(huì)出現(xiàn)不兼容的情況。
          3.2 safeMode加固
          fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,無論白名單和黑名單,都不支持autoType,可杜絕反序列化Gadgets類變種攻擊(關(guān)閉autoType注意評(píng)估對(duì)業(yè)務(wù)的影響)。
          3.2.1 開啟方法
          參考:
          https://github.com/alibaba/fastjson/wiki/fastjson_safemode
          3.2.2 使用1.2.83之后的版本是否需要使用safeMode
          1.2.83修復(fù)了此次發(fā)現(xiàn)的漏洞,開啟safeMode是完全關(guān)閉autoType功能,避免類似問題再次發(fā)生,這可能會(huì)有兼容問題,請(qǐng)充分評(píng)估對(duì)業(yè)務(wù)影響后開啟。
          3.2.3 開啟了safeMode是否需要升級(jí)
          開啟safeMode不受本次漏洞影響,可以不做升級(jí)。
          3.3 升級(jí)到fastjson v2
          fastjson v2 地址:
          https://github.com/alibaba/fastjson2/releases
          fastjson已經(jīng)開源2.0版本,在2.0版本中,不再為了兼容提供白名單,提升了安全性。fastjson v2代碼已經(jīng)重寫,性能有了很大提升,不完全兼容1.x,升級(jí)需要做認(rèn)真的兼容測(cè)試。
          3.4 noneautotype版本
          在5月26日后,為了方便使用老版本用戶兼容安全加固需求,提供了noneautotype版本,效果和1.2.68的safeMode效果一樣,完全禁止autotype功能。
          使用noneautotype版本的用戶也不受此次漏洞影響。
          • https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.8_noneautotype/
          • https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.48_noneautotype/
          • https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.54_noneautotype/
          • https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.60_noneautotype/
          • https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.71_noneautotype/
          盡快修復(fù)保平安吧!
          推薦閱讀:
          Java醫(yī)院就診掛號(hào)系統(tǒng)
          MySQL 暴跌!
          互聯(lián)網(wǎng)初中高級(jí)大廠面試題(9個(gè)G)
          內(nèi)容包含Java基礎(chǔ)、JavaWeb、MySQL性能優(yōu)化、JVM、鎖、百萬并發(fā)、消息隊(duì)列、高性能緩存、反射、Spring全家桶原理、微服務(wù)、Zookeeper......等技術(shù)棧!
          ?戳閱讀原文領(lǐng)取!? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??朕已閱?
          
          
          瀏覽
                    59
          點(diǎn)贊
    
          評(píng)論
    
          收藏
    
          分享
        
          手機(jī)掃一掃分享
          分享
    
          
        舉報(bào)
    
          評(píng)論
          圖片
          表情
          推薦
        
          點(diǎn)贊
    
          評(píng)論
    
          收藏
    
          分享
        
          手機(jī)掃一掃分享
          分享
    
          
        舉報(bào)
    
          

          <kbd id="afajh"><form id="afajh"></form></kbd>
          <strong id="afajh"><dl id="afajh"></dl></strong>
            2. 

            <del id="afajh"><form id="afajh"></form></del>
            

            5. 

                1. <th id="afajh"><progress id="afajh"></progress></th>

                  <b id="afajh"><abbr id="afajh"></abbr></b>
                  <th id="afajh"><progress id="afajh"></progress></th>
                  

欧美亚洲三区久久
|
青青青在线视频
|
中文乱片A片AAA毛片
|
日本三级网址
|
波多野结衣国产区42部
|