Fastjson再曝反序列化漏洞,网友:Bugson又来了!

简介: Fastjson再曝反序列化漏洞,网友:Bugson又来了!
  • 漏洞描述
  • 影响范围
  • 修复建议
  • 升级到最新版本1.2.83
  • safeMode 加固
  • 升级到 Fastjson v2

近日,Fastjson Develop Team 发布修复了 Fastjson 1.2.80 及之前版本存在的安全风险,该安全风险可能导致反序列化漏洞。

漏洞描述

Fastjson 是阿里巴巴开源的 Java 对象和 JSON 格式字符串的快速转换的工具库。

Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全。

基于 Spring Boot + MyBatis Plus + Vue & Element 实现的后台管理系统 + 用户小程序,支持 RBAC 动态权限、多租户、数据权限、工作流、三方登录、支付、短信、商城等功能。

项目地址:https://github.com/YunaiV/ruoyi-vue-pro

影响范围

Fastjson <= 1.2.80,如已开启safemode则不受该漏洞影响

基于微服务的思想,构建在 B2C 电商场景下的项目实战。核心技术栈,是 Spring Boot + Dubbo 。未来,会重构成 Spring Cloud Alibaba 。

项目地址:https://github.com/YunaiV/onemall

修复建议

参考漏洞影响范围,目前 Fastjson Develop Team 已公布漏洞修复方案,请参考以下修复建议或官方文档进行修复:https://github.com/alibaba/fastjson/wiki/security_update_20220523

升级到最新版本1.2.83

升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83

该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。

safeMode 加固

Fastjson 在1.2.68及之后的版本中引入了 safeMode,配置 safeMode 后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化Gadgets类变种攻击(关闭 autoType 注意评估对业务的影响),可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 查看开启方法。

升级到 Fastjson v2

Fastjson v2地址 https://github.com/alibaba/fastjson2/releases

Fastjson 已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。Fastjson v2 代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。升级遇到问题,可以在 https://github.com/alibaba/fastjson2/issues 寻求帮助。

相关文章
|
7月前
|
安全 Java Nacos
nacos常见问题之反序列化漏洞如何解决
Nacos是阿里云开源的服务发现和配置管理平台,用于构建动态微服务应用架构;本汇总针对Nacos在实际应用中用户常遇到的问题进行了归纳和解答,旨在帮助开发者和运维人员高效解决使用Nacos时的各类疑难杂症。
554 1
|
1月前
|
存储 JSON fastjson
再也不用心惊胆战地使用FastJSON了——序列化篇
本篇将主要介绍json序列化的详细流程。本文阅读的FastJSON源码版本为2.0.31。
222 13
|
3月前
|
JSON fastjson Java
niubility!即使JavaBean没有默认无参构造器,fastjson也可以反序列化。- - - - 阿里Fastjson反序列化源码分析
本文详细分析了 Fastjson 反序列化对象的源码(版本 fastjson-1.2.60),揭示了即使 JavaBean 沲有默认无参构造器,Fastjson 仍能正常反序列化的技术内幕。文章通过案例展示了 Fastjson 在不同构造器情况下的行为,并深入探讨了 `ParserConfig#getDeserializer` 方法的核心逻辑。此外,还介绍了 ASM 字节码技术的应用及其在反序列化过程中的角色。
98 10
|
Web App开发 人工智能 供应链
金蝶云星空管理中心反序列化命令执行漏洞(RCE)
​金蝶云星空管理中心存在反序列化命令执行,攻击者可通过该漏洞获取敏感信息,进而接管服务器。
608 2
H8
|
安全 网络协议 Java
跨语言的艺术:Weblogic 序列化漏洞和 IIOP 协议
Weblogic序列化漏洞主要依赖于T3和IIOP协议,在通信交互方面存在诸多问题,如跨语言、网络传输等,给漏洞检测和利用带来诸多不便。在WhiteHat Labs的理念中,漏洞检测和利用是一项创造性的工作,应该以最简洁高效的方式实现,以保证漏洞的跨平台性和实用性。因此,我们实现了跨语言的IIOP协议通信方案来解决序列化漏洞问题。
H8
308 12
|
JSON 前端开发 fastjson
fastjson全局序列化坑
fastjson全局序列化坑
108 0
|
前端开发 fastjson
mvc配置fastjson序列化枚举
mvc配置fastjson序列化枚举
128 0
|
安全 测试技术 Nacos
Nacos Jraft Hessian反序列化远程代码执行漏洞
Nacos Jraft Hessian反序列化远程代码执行漏洞
1797 1
|
缓存 NoSQL Java
最详细 | redis实战:JackSon/FastJson方式序列化深度解析
Jackson2JsonRedisSerializer和FastJsonRedisSerializer的实战应用
3455 0
|
fastjson Java
fastjson全局日期序列化设置导致JSONField无效
fastjson通过代码指定全局序列化返回时间格式,导致使用JSONField注解标注属性的特殊日期返回格式失效
235 0