麻了!Fastjson 再曝反序列化漏洞。。

Java技术栈

共 1766字,需浏览 4分钟

 ·

2022-05-31 17:35

点击关注公众号,Java干货及时送达

来源:© Alibaba Fastjson Develop Team
github.com/alibaba/fastjson/wiki/security_update_20220523

近日 Fastjson Develop Team 发现 fastjson 1.2.80及以下存在新的风险,请关注。

1. 风险描述

fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。

建议fastjson用户尽快采取安全措施保障系统安全。

2. 影响版本

特定依赖存在下影响 ≤1.2.80

3. 升级方案

3.1升级到最新版本1.2.8

https://github.com/alibaba/fastjson/releases/tag/1.2.83

该版本涉及autotype行为变更,在某些场景会出现不兼容的情况。

3.2 safeMode加固

fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。

3.2.1 开启方法

参考:

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

3.2.2 使用1.2.83之后的版本是否需要使用safeMode

1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。

3.2.3 开启了safeMode是否需要升级

开启safeMode不受本次漏洞影响,可以不做升级。最新面试题整理好了,大家可以在Java面试库小程序在线刷题。

3.3 升级到fastjson v2

fastjson v2 地址:

https://github.com/alibaba/fastjson2/releases

fastjson已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。

3.4 noneautotype版本

在5月26日后,为了方便使用老版本用户兼容安全加固需求,提供了noneautotype版本,效果和1.2.68的safeMode效果一样,完全禁止autotype功能。

使用noneautotype版本的用户也不受此次漏洞影响。

  • https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.8_noneautotype/
  • https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.48_noneautotype/
  • https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.54_noneautotype/
  • https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.60_noneautotype/
  • https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.71_noneautotype/

尽快修复保平安吧!








Spring Boot 定时任务开启后,怎么自动停止?
工作 3 年的同事不知道如何回滚代码
23 种设计模式实战(很全)
Spring Boot 保护敏感配置的 4 种方法!
再见单身狗!Java 创建对象的 6 种方式
阿里为什么推荐使用 LongAdder?
新来一个技术总监:禁止戴耳机写代码。。
重磅!Spring Boot 2.7 正式发布
Java 18 正式发布,finalize 被弃用。
Spring Boot Admin 横空出世!
Spring Boot 学习笔记,这个太全了!



关注Java技术栈看更多干货



获取 Spring Boot 实战笔记!
浏览 34
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报