紧急通知!更新中....
紧急通知!更新中....
(一)FastJson反序列化漏洞。据国家网络与信息安全信息通报中心监测发现,阿里巴巴公司开源Java开发组件FastJson存在反序列化漏洞。FastJson被众多java软件作为组件集成,广泛存在于java应用的服务端代码中。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。此次事件影响FastJson1.2.80及之前所有版本。目前,阿里巴巴公司已发布FastJson最新版本1.2.83以修复该漏洞,组件升级地址为:https://github.com/alibaba/fastjson/releases/tag/1.2.83。
3.1升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83
该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。或者加入钉钉群 44597749 需求帮助
3.2 safeMode加固
fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。
3.2.1 开启方法
参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode
3.2.2 使用1.2.83之后的版本是否需要使用safeMode
1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。
3.2.3 开启了safeMode是否需要升级
开启safeMode不受本次漏洞影响,可以不做升级。
3.3 升级到fastjson v2
fastjson v2地址 https://github.com/alibaba/fastjson2/releases
fastjson已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。升级遇到问题,可以在https://github.com/alibaba/fastjson2/issues 寻求帮助。