知道的越多,不知道的就越多,業餘的像一棵小草!
編輯:業餘草
來源:https://www.xttblog.com/?p=5017
5 月 29 日,一大早就得到了消息,阿里巴巴的 fastjson 又出漏洞了。
緊接着,沒過多久,很多客戶發來郵件,要求排查產品中涉及 fastjson 的安全漏洞!
由於公司項目衆多,一個一個排查起來真的是麻煩。我只能給大家口頭交待,以後禁止使用阿里巴巴 fastjson,使用 gson 或 Jackson 替換!
不是我不喜歡國產開源項目,實屬無奈之舉。fastjson 光今年就陸續爆出了 3 個漏洞。和漏洞之王,Struts2 真是有的一拼了!
這次 fastjson 的漏洞涉及 <= 1.2.68 的版本。存在遠程代碼執行漏洞,漏洞被利用可直接獲取服務器權限。
Fastjson 是阿里巴巴開源的 JSON 解析庫,它可以解析 JSON 格式的字符串,支持將 Java Bean 序列化爲 JSON 字符串,也可以從 JSON 字符串反序列化到JavaBean。自發布以來,深受廣大程序員喜愛。我們經常把它拿來和其他 JSON 解析框架對比,它以“速度快”著稱!但近年來,逐漸被大家所討厭,參考這篇文章:爲什麼 FastJson 火不起來,國外人都不使用?。
到今天位置,已經過去 3 天了,1.2.69 版本目前還未見身影!
所以,在漏洞被發現的第一天,我們只能手動的該代碼來修復這個 Bug。
根據騰訊安全團隊的建議,需要升級到 Fastjson 1.2.68 版本,然後通過配置以下參數開啓 SafeMode 來防護攻擊。
ParserConfig.getGlobalInstance().setSafeMode(true);
需要注意的是:safeMode 會完全禁用 autotype,無視白名單,請注意評估對業務影響。
實際上,這個漏洞 Jackson 今年 2 月份也出現過。具體漏洞編號爲:CVE-2020-8840,但這個漏洞應該是並未引起 Fastjson 的足夠重視,以至於在 Fastjson 上也發現了類似的問題。
截止今天發稿前,Fastjson 有 1322 個 issue。和上次文章中的1283 個相比,又增加了不少,這還不算其中被關閉的。
如果大家系統中有采用 Fastjson 的,建議自行檢查,趕緊修復起來。官方的 1.2.69 版本,預計在下週會出來。Fastjson 的現狀不忍直視,建議有能力的可以提 PR。Jackson 和 Gson 說不定就和昨天文章裏所說的 Consul 一樣,某天官方突然來個宣佈,禁止國內使用 Jackson 和 Gson 就尷尬了,我們會非常的被動的!
