查看原文
其他

Fastjson再曝反序列化漏洞,网友:Bugson又来了!

SpringForAll 2022-07-05
关注我,回复关键字“spring”
免费领取Spring学习资料

近日,Fastjson Develop Team 发布修复了 Fastjson 1.2.80 及之前版本存在的安全风险,该安全风险可能导致反序列化漏洞。

漏洞描述

Fastjson 是阿里巴巴开源的 Java 对象和 JSON 格式字符串的快速转换的工具库。

Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全。

影响范围

Fastjson <= 1.2.80,如已开启safemode则不受该漏洞影响

修复建议

参考漏洞影响范围,目前 Fastjson Develop Team 已公布漏洞修复方案,请参考以下修复建议或官方文档进行修复:https://github.com/alibaba/fastjson/wiki/security_update_20220523

升级到最新版本1.2.83

升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83

该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。

safeMode 加固

Fastjson 在1.2.68及之后的版本中引入了 safeMode,配置 safeMode 后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化Gadgets类变种攻击(关闭 autoType 注意评估对业务的影响),可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 查看开启方法。

升级到 Fastjson v2

Fastjson v2地址 https://github.com/alibaba/fastjson2/releases

Fastjson 已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。Fastjson v2 代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。升级遇到问题,可以在 https://github.com/alibaba/fastjson2/issues 寻求帮助。

来源 | https://unsafe.sh/go-112793.html

我们创建了一个高质量的技术交流群,与优秀的人在一起,自己也会优秀起来,赶紧点击加群,享受一起成长的快乐。另外,如果你最近想跳槽的话,年前我花了2周时间收集了一波大厂面经,节后准备跳槽的可以点击这里领取



END



Spring Boot 引起的“堆外内存泄漏”排查及经验总结
谷歌弃用20多年的OKR,再创内卷神器?
IDEA的全新UI,只需三步,直接开启!
Spring Boot 多个定时器冲突,怎么解决?
spring.factories自动生成神器

关注后端面试那些事,回复【2022面经】

获取最新大厂Java面经


最后重要提示:高质量的技术交流群,限时免费开放,今年抱团最重要。想进群的,关注SpringForAll社区,回复关键词:加群,拉你进群。

点击“阅读原文”领取2022大厂面经
↓↓↓ 

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存