【JNPF修改通告】fastjson≤1.2.80反序列化漏洞

小小码 • 2023-08-21 17:30 • 未分类 • 阅读 130

大家好，我是考100分的小小码，祝大家学习进步，加薪顺利呀。今天说一说【JNPF修改通告】fastjson≤1.2.80反序列化漏洞,希望您对编程的造诣更进一步.

近日Fastjson Develop Team 发现 fastjson 1.2.80及以下存在新的风险，存在反序列化漏洞。攻击者可绕过默认autoType关闭限制，攻击远程服务器，风险影响较大，请大家关注。

目前JNPF官方已完成修复，故在此建议诸位JNPF用户应尽快修复。

修复方案

航天筑梦科技兴国

微服务版

修改jnpf-java-cloud\pom.xml文件中的，fastjson.version 版本号‍‍

单体版

修改jnpf-java-boot\pom.xml文件中的，fastjson.version版本号‍

官方漏洞描述

fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean，由于具有执行效率高的特点，应用范围广泛。

fastjson已使用黑白名单用于防御反序列化漏洞，经研究该利用在特定条件下可绕过默认autoType关闭限制，攻击远程服务器，风险影响较大。

升级到最新版本1.2.83

该版本涉及autotype行为变更，在某些场景会出现不兼容的情况，如遇到问题可以到github.com/alibaba/fas… 寻求帮助。

safeMode加固

fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持autoType，可杜绝反序列化Gadgets类变种攻击（关闭autoType注意评估对业务的影响）。

1. 开启方法

参考：

2.使用1.2.83之后的版本是否需要使用safeMode

1.2.83修复了此次发现的漏洞，开启safeMode是完全关闭autoType功能，避免类似问题再次发生，这可能会有兼容问题，请充分评估对业务影响后开启。

升级到fastjson v2

fastjson v2地址：

fastjson已经开源2.0版本，在2.0版本中，不再为了兼容提供白名单，提升了安全性。fastjson v2代码已经重写，性能有了很大提升，不完全兼容1.x，升级需要做认真的兼容测试。

升级遇到问题，可以在github.com/alibaba/fas…

我是引迈信息，专注低代码开发/无代码开发领域，也是一枚希望和大家一起成长的IT人。从事互联网行业多年，我会陆续在写一些关于互联网方面的文章。

如果你也想踏上这场数字化之旅，不妨点个关注。原创不易，喜欢我的文字欢迎分享、点赞、评论。

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至举报，一经查实，本站将立刻删除。
转载请注明出处: https://daima100.com/12914.html