麻了!Fastjson 再曝反序列化漏洞。。

Posted Java技术栈

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了麻了!Fastjson 再曝反序列化漏洞。。相关的知识,希望对你有一定的参考价值。

点击关注公众号,Java干货及时送达

来源:© Alibaba Fastjson Develop Team
github.com/alibaba/fastjson/wiki/security_update_20220523

近日 Fastjson Develop Team 发现 fastjson 1.2.80及以下存在新的风险,请关注。

1. 风险描述

fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。

建议fastjson用户尽快采取安全措施保障系统安全。

2. 影响版本

特定依赖存在下影响 ≤1.2.80

3. 升级方案

3.1升级到最新版本1.2.8

https://github.com/alibaba/fastjson/releases/tag/1.2.83

该版本涉及autotype行为变更,在某些场景会出现不兼容的情况。

3.2 safeMode加固

fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。

3.2.1 开启方法

参考:

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

3.2.2 使用1.2.83之后的版本是否需要使用safeMode

1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。

3.2.3 开启了safeMode是否需要升级

开启safeMode不受本次漏洞影响,可以不做升级。最新面试题整理好了,大家可以在Java面试库小程序在线刷题。

3.3 升级到fastjson v2

fastjson v2 地址:

https://github.com/alibaba/fastjson2/releases

fastjson已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。

3.4 noneautotype版本

在5月26日后,为了方便使用老版本用户兼容安全加固需求,提供了noneautotype版本,效果和1.2.68的safeMode效果一样,完全禁止autotype功能。

使用noneautotype版本的用户也不受此次漏洞影响。

  • https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.8_noneautotype/

  • https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.48_noneautotype/

  • https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.54_noneautotype/

  • https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.60_noneautotype/

  • https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.71_noneautotype/

尽快修复保平安吧!


Spring Boot 定时任务开启后,怎么自动停止?

工作 3 年的同事不知道如何回滚代码

23 种设计模式实战(很全)

Spring Boot 保护敏感配置的 4 种方法!

再见单身狗!Java 创建对象的 6 种方式

阿里为什么推荐使用 LongAdder?

新来一个技术总监:禁止戴耳机写代码。。

重磅!Spring Boot 2.7 正式发布

Java 18 正式发布,finalize 被弃用。

Spring Boot Admin 横空出世!

Spring Boot 学习笔记,这个太全了!

关注Java技术栈看更多干货

获取 Spring Boot 实战笔记!

以上是关于麻了!Fastjson 再曝反序列化漏洞。。的主要内容,如果未能解决你的问题,请参考以下文章

10G大文件上传最全方案:秒传断点续传分片上传,包教会!

fastjson再曝重大安全漏洞,严重可导致服务瘫痪

Apache Struts2 再曝高危漏洞,建议立即进行检测与防护

fastjson漏洞 - Fastjson1.2.47反序列化漏洞

Fastjson反序列化漏洞

FastJson反序列化漏洞(实验文章)