大家好,我是考100分的小小码 ,祝大家学习进步,加薪顺利呀。今天说一说【JNPF修改通告】fastjson≤1.2.80反序列化漏洞,希望您对编程的造诣更进一步.
近日Fastjson Develop Team 发现 fastjson 1.2.80及以下存在新的风险,存在反序列化漏洞。攻击者可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大,请大家关注。
目前JNPF官方已完成修复,故在此建议诸位JNPF用户应尽快修复。
修复方案
航天筑梦科技兴国
微服务版
修改jnpf-java-cloud\pom.xml文件中的,fastjson.version 版本号
单体版
修改jnpf-java-boot\pom.xml文件中的,fastjson.version版本号
官方漏洞描述
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有执行效率高的特点,应用范围广泛。
fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。
官方安全修改意见
升级到最新版本1.2.83
该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到github.com/alibaba/fas… 寻求帮助。
safeMode加固
fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。
1. 开启方法
参考:
2.使用1.2.83之后的版本是否需要使用safeMode
1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。
升级到fastjson v2
fastjson v2地址:
fastjson已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。
升级遇到问题,可以在github.com/alibaba/fas…
我是引迈信息,专注低代码开发/无代码开发领域,也是一枚希望和大家一起成长的IT人。从事互联网行业多年,我会陆续在写一些关于互联网方面的文章。
详见网址:www.yinmaisoft.com/?from=jueji…
如果你也想踏上这场数字化之旅,不妨点个关注。原创不易,喜欢我的文字欢迎分享、点赞、评论。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
转载请注明出处: https://daima100.com/12914.html
