阿里巴巴 fastjson 又双叒叕出漏洞了!

JAVA herman 444浏览
公告:“业余草”微信公众号提供免费CSDN下载服务(只下Java资源),关注业余草微信公众号,添加作者微信:codedq,发送下载链接帮助你免费下载!
本博客日IP超过2000,PV 3000 左右,急需赞助商。
极客时间所有课程通过我的二维码购买后返现24元微信红包,请加博主新的微信号:codedq,之前的微信号好友位已满,备注:返现
饿了么大量招人,我内推!Java 方向!薪资不设上限,工作年龄不限!工作地点限魔都,可电话面试!简历,发我微信:codedq
所有面试题(java、前端、数据库、springboot等)一网打尽,请关注文末小程序
视频教程免费领

5 月 29 日,一大早就得到了消息,阿里巴巴的 fastjson 又出漏洞了。

紧接着,没过多久,很多客户发来邮件,要求排查产品中涉及 fastjson 的安全漏洞!

由于公司项目众多,一个一个排查起来真的是麻烦。我只能给大家口头交待,以后禁止使用阿里巴巴 fastjson,使用 gson 或 Jackson 替换!

不是我不喜欢国产开源项目,实属无奈之举。fastjson 光今年就陆续爆出了 3 个漏洞。和漏洞之王,Struts2 真是有的一拼了!

这次 fastjson 的漏洞涉及 <= 1.2.68 的版本。存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。

Fastjson 是阿里巴巴开源的 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到JavaBean。自发布以来,深受广大程序员喜爱。我们经常把它拿来和其他 JSON 解析框架对比,它以“速度快”著称!但近年来,逐渐被大家所讨厌,参考这篇文章:为什么 FastJson 火不起来,国外人都不使用?

到今天位置,已经过去 3 天了,1.2.69 版本目前还未见身影!

所以,在漏洞被发现的第一天,我们只能手动的该代码来修复这个 Bug。

根据腾讯安全团队的建议,需要升级到 Fastjson 1.2.68 版本,然后通过配置以下参数开启 SafeMode 来防护攻击。

ParserConfig.getGlobalInstance().setSafeMode(true);

需要注意的是:safeMode 会完全禁用 autotype,无视白名单,请注意评估对业务影响。

实际上,这个漏洞 Jackson 今年 2 月份也出现过。具体漏洞编号为:CVE-2020-8840,但这个漏洞应该是并未引起 Fastjson 的足够重视,以至于在 Fastjson 上也发现了类似的问题。

Fastjson 的 issue

截止今天发稿前,Fastjson 有 1322 个 issue。和上次文章中的1283 个相比,又增加了不少,这还不算其中被关闭的。

Jackson 的 issue

如果大家系统中有采用 Fastjson 的,建议自行检查,赶紧修复起来。官方的 1.2.69 版本,预计在下周会出来。Fastjson 的现状不忍直视,建议有能力的可以提 PR。Jackson 和 Gson 说不定和昨天 Consul 一样,某天官方突然来个宣布,禁止国内使用 Jackson 和 Gson 就尴尬了,我们会非常的被动的!

业余草公众号

最后,欢迎关注我的个人微信公众号:业余草(yyucao)!可加作者微信号1:xmtxtt(5000人已满),微信号2:xttblog(5000人已满),微信号3:codedq(超3800)。备注:“1”,添加博主微信拉你进微信群。备注错误不会同意好友申请。再次感谢您的关注!后续有精彩内容会第一时间发给您!原创文章投稿请发送至532009913@qq.com邮箱。商务合作也可添加作者微信进行联系!

本文原文出处:业余草: » 阿里巴巴 fastjson 又双叒叕出漏洞了!