乐趣区

关于jeecg-boot:高危安全通告fastjson≤1280反序列化漏洞

近日 Fastjson Develop Team 公布平安布告,Fastjson≤1.2.80 版本中存在反序列化破绽。攻击者可绕过默认 autoType 敞开限度,攻打近程服务器,危险影响较大。

目前 Jeecgboot 官网已实现修复,在此 倡议 Jeecgboot 用户尽快修复。

修复计划非常简单:

  • 1. 批改 jeecg-boot\pom.xml 文件中的,fastjson 及 jeewx-api 版本
  • 2. 批改 jeecg-boot-module-system/pom.xml 文件,增加 fastjson 排除


点击可参考修复计划。

破绽形容

  • fastjson 是阿里巴巴的开源 JSON 解析库,它能够解析 JSON 格局的字符串,反对将 Java Bean 序列化为 JSON 字符串,也能够从 JSON 字符串反序列化到 JavaBean,因为具备执行效率高的特点,利用范畴宽泛。
  • fastjson 已应用黑白名单用于进攻反序列化破绽,经钻研该利用在特定条件下可绕过默认 autoType 敞开限度,攻打近程服务器,危险影响较大。

官网平安倡议

  • 1. 降级到最新版本 1.2.83
    https://github.com/alibaba/fa…

    该版本波及 autotype 行为变更,在某些场景会呈现不兼容的状况,如遇遇到问题能够到
    https://github.com/alibaba/fa… 寻求帮忙。

  • 2.fastjson 在 1.2.68 及之后的版本中引入了 safeMode,配置 safeMode 后,无论白名单和黑名单,都不反对 autoType,可杜绝反序列化 Gadgets 类变种攻打(敞开 autoType 留神评估对业务的影响)。

    开启办法可参考
    https://github.com/alibaba/fa…。

    1.2.83 修复了此次发现的破绽,开启 safeMode 是齐全敞开 autoType 性能,防止相似问题再次发生,这可能会有兼容问题,请充沛评估对业务影响后开启。

  • 3. 可降级到 fastjson v2
    https://github.com/alibaba/fa…
退出移动版