我司监测到一则Fastjson Develop Team发布的安全公告,修复了一个存在于Fastjson 1.2.80 及之前版本中的反序列化漏洞。Fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全。
Fastjson 是阿里巴巴开源的 Java 对象和 JSON 格式字符串的快速转换的工具库。
影响版本
-
Fastjson ≤ 1.2.80
安全版本
-
Fastjson > 1.2.80
修复建议
-
升级到最新版本1.2.83,下载链接:https://github.com/alibaba/fastjson/releases/tag/1.2.83
该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。
-
升级到 Fastjson v2,Fastjson v2地址:https://github.com/alibaba/fastjson2/releases
Fastjson 已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。Fastjson v2 代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。升级遇到问题,可以在 https://github.com/alibaba/fastjson2/issues 寻求帮助。
原文始发于微信公众号(郑州网络安全):Fastjson版本小于1.2.80的反序列化漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论