1. HTTP3W博客首页
  2. 技术
  3. 服务安全

Fastjson低版本漏洞

引言:

2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,风险影响较大。

漏洞评级:严重

影响组件:com.alibaba:fastjson

影响版本:<= 1.2.80

解决方案

方案1:升级到最新版本1.2.83

注意,该版本涉及autotype行为变更,在某些场景会出现不兼容弄的情况。

下载地址:

https://github.com/alibaba/fastjson/releases/tag/1.2.83

方案2:safeMode加固

fastjson在1.2.68级之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。

开启方法:

式参考官方说明:https://github.com/alibaba/fastjson/wiki/fastjson_safemode

1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。

方案3:升级到fastjson v2

fastjson已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。

下载地址:https://github.com/alibaba/fastjson2/releases

1、原创文章,作者:诺米,如若转载,请注明出处:https://www.http3w.com/archives/808

2、本站内容若有雷同从属巧合,若侵犯了您的权益,请联系本站删除,E-mail: wtao219@qq.com

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

联系我们

254007489

在线咨询:点击这里给我发消息

邮件:wtao219@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息