正文:
最近Fastjson
DevelopTeam
发现 fastjson1.2.80
及以下版本存在新的风险。
风险描述
Fastjson
已经使用黑白列表来防御反序列化漏洞。经过研究,这种利用可以绕过默认的自动类型关闭限制,并在某些情况下攻击远程服务器,具有很大的风险影响。
建议 Fastjson
用户尽快采取安全措施,确保系统安全。
影响版本
特定依赖性≤1.2.80
时的影响
升级计划
升级至最新版本 1
. 2
. 8
https
://github.com/Alibaba/fastjson/releases
/tag
/1.2.83
.
这个版本涉及到了 autotype
行为的改变,在某些场景下会出现不兼容的情况。
安全模式强化
Fastjson
在 1.2.68
及更高版本中引入了 safeMode
。配置 safeMode
后,白名单和黑名单都不支持 autoType
,可以防止反序列化小工具的攻击(关闭 autoType
,注意对业务的影响)。
打开方法
参考:https
://github.com/alibaba/fastjson/wiki/fastjson_safemode
1.2.83
以后的版本有必要使用 safeMode
吗?
1.2.83
此次发现的漏洞已修复。打开 safeMode
就是彻底关闭 autoType
功能,避免类似问题再次发生,可能造成兼容性问题。请在启用前充分评估业务影响。
安全模式已打开。需要升级吗?
打开 safeMode
不受该漏洞影响,也不能升级。
升级到 fastsonv
2
Fastjsonv2
地址:https
://github.com/alibaba/fastjson2/releases
Fastjson
已经开源 2.0
版本。在 2.0
版本中,为了兼容性,不再提供白名单,这提高了安全性。Fastjsonv2
代码经过了重写,性能得到了很大的提升。与 1.x
并不完全兼容,所以升级需要认真的兼容性测试。
noneautotype
版本
5
月 26
日之后,为了方便使用旧版本的用户满足安全加固的要求,提供了非自动复制版本,效果与 1.2.68
中的 safeMode
相同,完全禁止自动复制功能。
使用 noneautotype
版本的用户也不受此漏洞的影响。
https
://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.8_noneautotype
/https
://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.48_noneautotype
/https
://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.54_noneautotype
/https
://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.60_noneautotype
/https
://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.71_noneautotype
/转载请注明:汇站网 » Fastjson重新暴露反序列化漏洞