close
關注我,回復關鍵字「spring」,
免費領取Spring學習資料。

近日,Fastjson Develop Team 發布修復了 Fastjson 1.2.80 及之前版本存在的安全風險,該安全風險可能導致反序列化漏洞。

漏洞描述

Fastjson 是阿里巴巴開源的 Java 對象和 JSON 格式字符串的快速轉換的工具庫。

Fastjson 1.2.80 及之前版本使用黑白名單用於防禦反序列化漏洞,經研究該防禦策略在特定條件下可繞過默認 autoType 關閉限制,攻擊遠程服務器,風險影響較大。建議 Fastjson 用戶儘快採取安全措施保障系統安全。

影響範圍Fastjson<=1.2.80,如已開啟safemode則不受該漏洞影響

修復建議

參考漏洞影響範圍,目前 Fastjson Develop Team 已公布漏洞修複方案,請參考以下修復建議或官方文檔進行修復:https://github.com/alibaba/fastjson/wiki/security_update_20220523

升級到最新版本1.2.83

升級到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83

該版本涉及autotype行為變更,在某些場景會出現不兼容的情況,如遇遇到問題可以到 https://github.com/alibaba/fastjson/issues 尋求幫助。

safeMode 加固

Fastjson 在1.2.68及之後的版本中引入了 safeMode,配置 safeMode 後,無論白名單和黑名單,都不支持 autoType,可杜絕反序列化Gadgets類變種攻擊(關閉 autoType 注意評估對業務的影響),可參考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 查看開啟方法。

升級到 Fastjson v2

Fastjson v2地址 https://github.com/alibaba/fastjson2/releases

Fastjson 已經開源2.0版本,在2.0版本中,不再為了兼容提供白名單,提升了安全性。Fastjson v2 代碼已經重寫,性能有了很大提升,不完全兼容1.x,升級需要做認真的兼容測試。升級遇到問題,可以在 https://github.com/alibaba/fastjson2/issues 尋求幫助。

來源 | https://unsafe.sh/go-112793.html

我們創建了一個高質量的技術交流群,與優秀的人在一起,自己也會優秀起來,趕緊點擊加群,享受一起成長的快樂。另外,如果你最近想跳槽的話,年前我花了2周時間收集了一波大廠面經,節後準備跳槽的可以點擊這裡領取!


END


Spring Boot 引起的「堆外內存泄漏」排查及經驗總結
谷歌棄用20多年的OKR,再創內卷神器?
IDEA的全新UI,只需三步,直接開啟!
Spring Boot 多個定時器衝突,怎麼解決?
spring.factories自動生成神器

關注後端面試那些事,回復【2022面經】

獲取最新大廠Java面經


最後重要提示:高質量的技術交流群,限時免費開放,今年抱團最重要。想進群的,關注SpringForAll社區,回復關鍵詞:加群,拉你進群。




點擊「閱讀原文」領取2022大廠面經
↓↓↓
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()