赞
踩
昨天,我收到了集团安全部门的告警消息:Fastjson≤1.2.80版本存在反序列化漏洞,好家伙,着手开搞,这又是一个不眠夜的开始,哦,为什么说“又”呢?还记得去年12月份log4j2报过重大安全漏洞……
fastjson已使用黑白名单用于防御序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全
Fastjson≤1.2.80
注意,该版本涉及autotype行为变更,在某些场景会出现不兼容弄的情况。
下载地址:
https://github.com/alibaba/fastjson/releases/tag/1.2.83
fastjson在1.2.68级之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。
开启方法:
https://github.com/alibaba/fastjson/wiki/fastjson_safemode
1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。
fastjson已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。
下载地址:https://github.com/alibaba/fastjson2/releases
好兄弟可以点赞并关注我的公众号“javaAnswer”,全部都是干货。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。