近日 Fastjson Develop Team 公布平安布告,Fastjson≤1.2.80 版本中存在反序列化破绽。攻击者可绕过默认 autoType 敞开限度,攻打近程服务器,危险影响较大。
目前 Jeecgboot 官网已实现修复,在此 倡议 Jeecgboot 用户尽快修复。
修复计划非常简单:
- 1. 批改 jeecg-boot\pom.xml 文件中的,fastjson 及 jeewx-api 版本
- 2. 批改 jeecg-boot-module-system/pom.xml 文件,增加 fastjson 排除
点击可参考修复计划。
破绽形容
- fastjson 是阿里巴巴的开源 JSON 解析库,它能够解析 JSON 格局的字符串,反对将 Java Bean 序列化为 JSON 字符串,也能够从 JSON 字符串反序列化到 JavaBean,因为具备执行效率高的特点,利用范畴宽泛。
- fastjson 已应用黑白名单用于进攻反序列化破绽,经钻研该利用在特定条件下可绕过默认 autoType 敞开限度,攻打近程服务器,危险影响较大。
官网平安倡议
-
1. 降级到最新版本 1.2.83
https://github.com/alibaba/fa…该版本波及 autotype 行为变更,在某些场景会呈现不兼容的状况,如遇遇到问题能够到
https://github.com/alibaba/fa… 寻求帮忙。 -
2.fastjson 在 1.2.68 及之后的版本中引入了 safeMode,配置 safeMode 后,无论白名单和黑名单,都不反对 autoType,可杜绝反序列化 Gadgets 类变种攻打(敞开 autoType 留神评估对业务的影响)。
开启办法可参考
https://github.com/alibaba/fa…。1.2.83 修复了此次发现的破绽,开启 safeMode 是齐全敞开 autoType 性能,防止相似问题再次发生,这可能会有兼容问题,请充沛评估对业务影响后开启。
- 3. 可降级到 fastjson v2
https://github.com/alibaba/fa…