關注我們,設為星標,每天7:40不見不散,架構路上與您共享

回復架構師獲取資源

大家好，我是你們的朋友架構君，一個會寫代碼吟詩的架構師。

'javajgs.com';

近日 Fastjson Develop Team 發(fā)現 fastjson 1.2.80及以下存在新的風險，請關注。

1. 風險描述

fastjson已使用黑白名單用于防御反序列化漏洞，經研究該利用在特定條件下可繞過默認autoType關閉限制，攻擊遠程服務器，風險影響較大。

建議fastjson用戶盡快采取安全措施保障系統(tǒng)安全。

2. 影響版本

特定依賴存在下影響 ≤1.2.80

3. 升級方案

3.1升級到最新版本1.2.8

https://github.com/alibaba/fastjson/releases/tag/1.2.83

該版本涉及autotype行為變更，在某些場景會出現不兼容的情況。

3.2 safeMode加固

fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，無論白名單和黑名單，都不支持autoType，可杜絕反序列化Gadgets類變種攻擊（關閉autoType注意評估對業(yè)務的影響）。

3.2.1 開啟方法

參考：

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

3.2.2 使用1.2.83之后的版本是否需要使用safeMode

1.2.83修復了此次發(fā)現的漏洞，開啟safeMode是完全關閉autoType功能，避免類似問題再次發(fā)生，這可能會有兼容問題，請充分評估對業(yè)務影響后開啟。

3.2.3 開啟了safeMode是否需要升級

開啟safeMode不受本次漏洞影響，可以不做升級。

3.3 升級到fastjson v2

fastjson v2 地址：

https://github.com/alibaba/fastjson2/releases

fastjson已經開源2.0版本，在2.0版本中，不再為了兼容提供白名單，提升了安全性。fastjson v2代碼已經重寫，性能有了很大提升，不完全兼容1.x，升級需要做認真的兼容測試。

3.4 noneautotype版本

在5月26日后，為了方便使用老版本用戶兼容安全加固需求，提供了noneautotype版本，效果和1.2.68的safeMode效果一樣，完全禁止autotype功能。

使用noneautotype版本的用戶也不受此次漏洞影響。

• https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.8_noneautotype/
• https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.48_noneautotype/
• https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.54_noneautotype/
• https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.60_noneautotype/
• https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.71_noneautotype/

盡快修復保平安吧！

到此文章就結束了。Java架構師必看一個集公眾號、小程序、網站(3合1的文章平臺，給您架構路上一臂之力，javajgs.com)。如果今天的文章對你在進階架構師的路上有新的啟發(fā)和進步，歡迎轉發(fā)給更多人。歡迎加入架構師社區(qū)技術交流群，眾多大咖帶你進階架構師，在后臺回復“加群”即可入群。

---

這些年小編給你分享過的干貨

1.idea永久激活碼（親測可用）

2.優(yōu)質ERP系統(tǒng)帶進銷存財務生產功能（附源碼）

3.優(yōu)質SpringBoot帶工作流管理項目（附源碼）

4.最好用的OA系統(tǒng)，拿來即用（附源碼）

5.SBoot+Vue外賣系統(tǒng)前后端都有（附源碼）

6.SBoot+Vue可視化大屏拖拽項目（附源碼）

轉發(fā)在看就是最大的支持??