【高危安全通告】fastjson≤1.2.80反序列化漏洞
近日Fastjson Develop Team釋出安全公告,Fastjson≤1.2.80版本中存在反序列化漏洞。攻擊者可繞過預設autoType關閉限制,攻擊遠端伺服器,風險影響較大。
目前Jeecgboot官方已完成修復,在此 建議Jeecgboot使用者儘快修復。
修復方案非常簡單:
- 1.修改jeecg-boot\pom.xml檔案中的,fastjson及jeewx-api版本
- 2.修改jeecg-boot-module-system/pom.xml檔案,新增fastjson排除
點選可參考修復方案。
漏洞描述
-
fastjson是阿里巴巴的開源JSON解析庫,它可以解析JSON格式的字串,支援將Java Bean序列化為JSON字串,也可以從JSON字串反序列化到JavaBean,由於具有執行效率高的特點,應用範圍廣泛。
-
fastjson已使用黑白名單用於防禦反序列化漏洞,經研究該利用在特定條件下可繞過預設autoType關閉限制,攻擊遠端伺服器,風險影響較大。
官方安全建議
-
1.升級到最新版本1.2.83
https://github.com/alibaba/fastjson/releases/tag/1.2.83該版本涉及autotype行為變更,在某些場景會出現不相容的情況,如遇遇到問題可以到
https://github.com/alibaba/fastjson/issues尋求幫助。 -
2.fastjson在1.2.68及之後的版本中引入了safeMode,配置safeMode後,無論白名單和黑名單,都不支援autoType,可杜絕反序列化Gadgets類變種攻擊(關閉autoType注意評估對業務的影響)。
開啟方法可參考
https://github.com/alibaba/fastjson/wiki/fastjson_safemode。1.2.83修復了此次發現的漏洞,開啟safeMode是完全關閉autoType功能,避免類似問題再次發生,這可能會有相容問題,請充分評估對業務影響後開啟。
-
3.可升級到fastjson v2
https://github.com/alibaba/fastjson2/releases