近日Fastjson Develop Team公布平安布告,Fastjson≤1.2.80版本中存在反序列化破绽。攻击者可绕过默认autoType敞开限度,攻打近程服务器,危险影响较大。
目前Jeecgboot官网已实现修复,在此 倡议Jeecgboot用户尽快修复。
修复计划非常简单:
- 1.批改jeecg-boot\pom.xml文件中的,fastjson及jeewx-api版本
- 2.批改jeecg-boot-module-system/pom.xml文件,增加fastjson排除
点击可参考修复计划。
破绽形容
- fastjson是阿里巴巴的开源JSON解析库,它能够解析JSON格局的字符串,反对将Java Bean序列化为JSON字符串,也能够从JSON字符串反序列化到JavaBean,因为具备执行效率高的特点,利用范畴宽泛。
- fastjson已应用黑白名单用于进攻反序列化破绽,经钻研该利用在特定条件下可绕过默认autoType敞开限度,攻打近程服务器,危险影响较大。
官网平安倡议
1.降级到最新版本1.2.83
https://github.com/alibaba/fa...该版本波及autotype行为变更,在某些场景会呈现不兼容的状况,如遇遇到问题能够到
https://github.com/alibaba/fa...寻求帮忙。2.fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不反对autoType,可杜绝反序列化Gadgets类变种攻打(敞开autoType留神评估对业务的影响)。
开启办法可参考
https://github.com/alibaba/fa...。1.2.83修复了此次发现的破绽,开启safeMode是齐全敞开autoType性能,防止相似问题再次发生,这可能会有兼容问题,请充沛评估对业务影响后开启。
- 3.可降级到fastjson v2
https://github.com/alibaba/fa...