fastjson近日曝出代碼執行漏洞,惡意用戶可利用此漏洞進行遠程代碼執行,入侵服務器,漏洞評級為“高危”。
基本介紹
fastjson 是一個性能很好的 Java 語言實現的 JSON 解析器和生成器,來自阿里巴巴的工程師開發。
漏洞介紹
fastjson在1.2.24以及之前版本近日曝出代碼執行漏洞,當用戶提交一個精心構造的惡意的序列化數據到服務器端時,fastjson在反序列化時存在漏洞,可導致遠程任意代碼執行漏洞。
風險:高風險
方式:黑客通過利用漏洞可以實現遠程代碼執行
影響:1.2.24及之前版本
安全版本:>=1.2.28
修復方法
1.請將fastjson升級到1.2.28或者更新版本
<dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.28</version> </dependency>
2. 直接下載
1.2.28版本下載地址 http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/
常見問題
1. 升級遇到不兼容問題怎么辦?
1.2.28已經修復了絕大多數兼容問題,但是總會有一些特殊的用法導致不兼容,如果你遇到不兼容問題,通過 https://github.com/alibaba/fastjson/wiki/incompatible_change_list 查看不兼容問題,鏈接的后面提供了遇到不兼容問題之后的使用相應的sec01版本解決辦法。
2. 升級之后報錯autotype is not support
安全升級包禁用了部分autotype的功能,也就是"@type"這種指定類型的功能會被限制在一定范圍內使用。如果你使用場景中包括了這個功能,https://github.com/alibaba/fastjson/wiki/enable_autotype 這里有一個介紹如何添加白名單或者打開autotype功能。
3. 通過配置打開autotype之后是否存在安全漏洞
在1.2.28以及所有的.sec01版本中,有多重保護,但打開autotype之后仍會存在風險,不建議打開,而是使用一個較小范圍的白名單。
4. Android環境使用是否需要升級
目前未發現漏洞對Android系統產生影響,在Android環境中使用不用升級。