`
zhangdaiscott
  • 浏览: 446810 次
  • 性别: Icon_minigender_1
  • 来自: 北京
博客专栏
8fb25857-16b4-3681-ab5e-e319f45c42a8
Jeecg快速开发平台
浏览量:0
文章分类
社区版块
存档分类

【高危安全通告】fastjson≤1.2.80反序列化漏洞

阅读更多

近日Fastjson Develop Team发布安全公告,Fastjson≤1.2.80版本中存在反序列化漏洞。攻击者可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。

目前Jeecgboot官方已完成修复,在此 建议Jeecgboot用户尽快修复。

修复方案非常简单:

  • 1.修改jeecg-boot\pom.xml文件中的,fastjson及jeewx-api版本在这里插入图片描述
  • 2.修改jeecg-boot-module-system/pom.xml文件,添加fastjson排除在这里插入图片描述点击可参考修复方案

漏洞描述

  • fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有执行效率高的特点,应用范围广泛。
  • fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。

官方安全建议

  • 1.升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83

    该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇遇到问题可以到 https://github.com/alibaba/fastjson/issues寻求帮助。

  • 2.fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。

    开启方法可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode。

    1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。

  • 3.可升级到fastjson v2 https://github.com/alibaba/fastjson2/releases

分享到:
评论

相关推荐

    fastjson-1.2.72-API文档-中文版.zip

    赠送jar包:fastjson-1.2.72.jar; 赠送原API文档:fastjson-1.2.72-javadoc.jar; 赠送源代码:fastjson-1.2.72-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.72.pom; 包含翻译后的API文档:fastjson-1.2....

    fastjson-1.2.38的官方jar包合集【fastjson-1.2.38.jar,fastjson-1.2.38-sources.jar】

    这个压缩包集合包含了Fastjson的1.2.38版本,具体包括三个重要的组成部分:`fastjson-1.2.38.jar`(核心运行时库)、`fastjson-1.2.38-sources.jar`(源代码)以及`fastjson-1.2.38-javadoc.jar`(API文档)。...

    fastjson-1.2.78-API文档-中文版.zip

    赠送jar包:fastjson-1.2.78.jar; 赠送原API文档:fastjson-1.2.78-javadoc.jar; 赠送源代码:fastjson-1.2.78-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.78.pom; 包含翻译后的API文档:fastjson-1.2....

    fastjson-1.2.76.jar

    fastjson-1.2.76.jar

    fastjson-1.2.38的jar包

    - **安全性**:在1.2.38版本中,Fastjson对安全问题进行了修复,提升了框架的安全性,例如对JSON注入的防护。 总的来说,Fastjson-1.2.38作为一个成熟的JSON处理工具,为Java开发者提供了高效、便捷的JSON操作方案...

    fastjson-1.2.83 针对近期阿里fastjson包漏洞,升级解决

    Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全

    最新版 fastjson-1.2.70.jar

    最新版 fastjson-1.2.70.jar

    fastjson-1.2.66_fastjson-1.2.66.jar_Fastjson_

    《深入解析Fastjson 1.2.66版本》 Fastjson是阿里巴巴开源的一个高性能的JSON库,它在Java世界中被广泛使用,为开发者提供了快速、方便地处理JSON数据的能力。Fastjson 1.2.66是该库的一个稳定版本,其核心功能包括...

    fastjson-1.2.83.jar下载

    fastjson-1.2.83.jar下载,fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也支持从JSON字符串反序列化到JavaBean。fastjson采用全新的JSON解析算法,运行速度极快...

    fastjson-1.2.62.jar

    fastjson-1.2.62.jar

    fastjson1.2.69反序列化远程代码执行漏洞介绍.docx

    然而,Fastjson 1.2.69 版本存在一个严重的反序列化远程代码执行漏洞,这使得攻击者有可能通过精心构造的输入数据,绕过防御机制,执行任意远程代码,对服务器的安全构成重大威胁。 **漏洞原理** Fastjson 在处理 ...

    最新版 fastjson-1.2.73.jar

    最新版 fastjson-1.2.73.jar

    fastjson-1.2.80

    fastjson-1.2.80

    fastjson-1.2.78.jar.zip

    《深入解析Fastjson-1.2.78.jar在JavaWeb开发中的应用》 Fastjson是阿里巴巴开源的一个高性能的JSON库,它具有轻量级、快速、易用的特点,广泛应用于JavaWeb开发中。在标题提及的"fastjson-1.2.78.jar.zip"压缩包中...

    最新版 fastjson-1.2.69.jar

    最新版 fastjson-1.2.69.jar

    阿里巴巴fastjson-1.2.83.jar

    阿里巴巴1.2.80及之前版本存在高危漏洞,已发布最新的1.2.83版本,供需要的各位下载使用。

    最新版 fastjson-1.2.68.jar

    《深入解析Fastjson-1.2.68.jar:阿里巴巴的高效JSON库》 Fastjson是阿里巴巴开源的一款高性能的Java JSON库,它以其简洁的API、卓越的性能以及对Java对象与JSON数据之间的无缝转换而备受赞誉。在最新的版本1.2.68...

    fastjson-1.2.75-API文档-中文版.zip

    赠送jar包:fastjson-1.2.75.jar; 赠送原API文档:fastjson-1.2.75-javadoc.jar; 赠送源代码:fastjson-1.2.75-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.75.pom; 包含翻译后的API文档:fastjson-1.2....

    fastjson-1.2.79-API文档-中文版.zip

    赠送jar包:fastjson-1.2.79.jar; 赠送原API文档:fastjson-1.2.79-javadoc.jar; 赠送源代码:fastjson-1.2.79-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.79.pom; 包含翻译后的API文档:fastjson-1.2....

    fastjson-1.2.78-API文档-中英对照版.zip

    赠送jar包:fastjson-1.2.78.jar; 赠送原API文档:fastjson-1.2.78-javadoc.jar; 赠送源代码:fastjson-1.2.78-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.78.pom; 包含翻译后的API文档:fastjson-1.2....

Global site tag (gtag.js) - Google Analytics