正文:
最近FastjsonDevelopTeam 发现 fastjson1.2.80 及以下版本存在新的风险。
风险描述
Fastjson 已经使用黑白列表来防御反序列化漏洞。经过研究,这种利用可以绕过默认的自动类型关闭限制,并在某些情况下攻击远程服务器,具有很大的风险影响。
建议 Fastjson 用户尽快采取安全措施,确保系统安全。
影响版本
特定依赖性≤1.2.80 时的影响
升级计划
升级至最新版本 1 . 2 . 8 https://github.com/Alibaba/fastjson/releases/tag/1.2.83.
这个版本涉及到了 autotype 行为的改变,在某些场景下会出现不兼容的情况。
安全模式强化
Fastjson 在 1.2.68 及更高版本中引入了 safeMode。配置 safeMode 后,白名单和黑名单都不支持 autoType,可以防止反序列化小工具的攻击(关闭 autoType,注意对业务的影响)。
打开方法
参考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode
1.2.83 以后的版本有必要使用 safeMode 吗?
1.2.83 此次发现的漏洞已修复。打开 safeMode 就是彻底关闭 autoType 功能,避免类似问题再次发生,可能造成兼容性问题。请在启用前充分评估业务影响。
安全模式已打开。需要升级吗?
打开 safeMode 不受该漏洞影响,也不能升级。
升级到 fastsonv 2
Fastjsonv2 地址:https://github.com/alibaba/fastjson2/releases
Fastjson 已经开源 2.0 版本。在 2.0 版本中,为了兼容性,不再提供白名单,这提高了安全性。Fastjsonv2 代码经过了重写,性能得到了很大的提升。与 1.x 并不完全兼容,所以升级需要认真的兼容性测试。
noneautotype 版本
5 月 26 日之后,为了方便使用旧版本的用户满足安全加固的要求,提供了非自动复制版本,效果与 1.2.68 中的 safeMode 相同,完全禁止自动复制功能。
使用 noneautotype 版本的用户也不受此漏洞的影响。
https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.48_noneautotype/
https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.54_noneautotype/
https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.60_noneautotype/
https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.71_noneautotype/
转载请注明:汇站网 » Fastjson 重新暴露反序列化漏洞
