麻木了,Fastjson 1.2.80 及之前版本存在 Throwable 反序列化漏洞!

最新推荐文章于 2024-05-27 08:03:43 发布
最新推荐文章于 2024-05-27 08:03:43 发布
阅读量1.3k 收藏
点赞数
文章标签: java 安全 编程语言 github 人工智能
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwMTE3MDY4MQ==&mid=2652458051&idx=1&sn=80cf5747dc22cac04ceb2b5b335aa5ea&chksm=813021d5b647a8c342ddef3618a08c84745f2137378fd818e9535525d66143ca636647bb0ab0&scene=126&&sessionid=0
版权

969987b818cfd0140964a9b66827aedd.png

近日,Fastjson Develop Team 发布修复了 Fastjson 1.2.80 及之前版本存在的安全风险,该安全风险可能导致反序列化漏洞。

漏洞描述

Fastjson 是阿里巴巴开源的 Java 对象和 JSON 格式字符串的快速转换的工具库

Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全。

影响范围

Fastjson <= 1.2.80,如已开启safemode则不受该漏洞影响

修复建议

参考漏洞影响范围,目前 Fastjson Develop Team 已公布漏洞修复方案,请参考以下修复建议或官方文档进行修复:https://github.com/alibaba/fastjson/wiki/security_update_20220523

升级到最新版本1.2.83

升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83

该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。

safeMode 加固

Fastjson 在1.2.68及之后的版本中引入了 safeMode,配置 safeMode 后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化Gadgets类变种攻击(关闭 autoType 注意评估对业务的影响),可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode 查看开启方法。

升级到 Fastjson v2

Fastjson v2地址 https://github.com/alibaba/fastjson2/releases

Fastjson 已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。Fastjson v2 代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。升级遇到问题,可以在 https://github.com/alibaba/fastjson2/issues 寻求帮助。

作者:nosec.org

https://unsafe.sh/go-112793.html

公众号“Java精选”所发表内容注明来源的,版权归原出处所有(无法查证版权的或者未注明出处的均来自网络,系转载,转载的目的在于传递更多信息,版权属于原作者。如有侵权,请联系,笔者会第一时间删除处理!

最近有很多人问,有没有读者交流群!加入方式很简单,公众号Java精选,回复“加群”,即可入群!

Java精选面试题(微信小程序):3000+道面试题,包含Java基础、并发、JVM、线程、MQ系列、Redis、Spring系列、Elasticsearch、Docker、K8s、Flink、Spark、架构设计等,在线随时刷题!

------ 特别推荐 ------

特别推荐:专注分享最前沿的技术与资讯,为弯道超车做好准备及各种开源项目与高效率软件的公众号,「大咖笔记」,专注挖掘好东西,非常值得大家关注。点击下方公众号卡片关注

文章有帮助的话,在看,转发吧!

Java精选
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fastjson高危漏洞!附解决方法(实战)
langshen1314的专栏
06-17 705
Fastjson
【教程】fastjson升级,spring boot设置fastjson2做序列序列
m0_67394006的博客
07-31 4621
项目地址为什么要升级?官方给出的对比fastjson2并非常规升级,可以说是一次重构。fastjson2更快,更安全。
FastJson中AutoType序列漏洞
最新发布
Innocence_0的博客
05-27 380
Fastjson
fastjson2.x 记录】那些从1.x升级到2.x踩过的坑
02-12 8245
记录 fastjson 从 1.x 版本升级到 2.x 版本后出现的问题和解决方法,方便自己和大家查询。
fastjson升级为fastjson2
xglinux的博客
03-18 869
替换为 import com.alibaba.fastjson2.JSON;替换为:String json = JSON.toJSONString(this, DateRangeQueryBuilder.TIME_FORMAT);(1) pom修改。
fastjson2 介绍及使用
热门推荐
西凉的悲伤博客
11-30 2万+
fastjson2 是 FASTJSON 项目的重要升级,目标是为下一个十年提供一个高性能的JSON库, fastjson2 性能相比原先旧的 fastjson 有了很大提升,并且 fastjson2 更安全,完全删除autoType白名单,提升了安全性。关于fastjson2升级指南fastjson2 的github地址。
FastJson2.0介绍和使用
全栈行动派的博客
11-22 5335
FASTJSON v2是FASTJSON项目的重要升级,目标是为下一个十年提供一个高性能的JSON库。通过同一套API,
fastjson1.2.69序列远程代码执行漏洞介绍.docx
07-01
然而,Fastjson 1.2.69 版本存在一个严重的序列远程代码执行漏洞,这使得攻击者有可能通过精心构造的输入数据,绕过防御机制,执行任意远程代码,对服务器的安全构成重大威胁。 **漏洞原理** Fastjson 在处理 ...
fastjson-1.2.83 针对近期阿里fastjson漏洞,升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御序列漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
fastjson-1.2.76.jar
06-29
fastjson-1.2.76.jar
阿里巴巴fastjson-1.2.83.jar
06-01
阿里巴巴1.2.80及之前版本存在高危漏洞,已发布最新的1.2.83版本,供需要的各位下载使用。
fastjson-1.2.83.jar下载
04-18
fastjson-1.2.83.jar下载,fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean序列为JSON字符串,也支持从JSON字符串序列到JavaBean。fastjson采用全新的JSON解析算法,运行速度极快...
11-高性能JSON库——fastjson2
titanium的博客
06-17 2894
fastjson2
使用 Redis 插入数据乱码问题
LLLLLLL_LLLLLLL的博客
04-11 3691
使用 Redis 插入数据乱码问题 SpringBoot中使用redis,我们需要自定义序列方式,否则会存入我们无法直接看到的编码后的信息。redis数据库中的数据是程序写入的,这里是在客户端查看的结果,乱码以\x开头,英文字符可以正常显示,如下图所示: 解决方案: 将key序列方式改成StringRedisSerializer,将value序列方式改为Jackson2JsonRedisSerializer。添加如下两个类: import com.alibaba.fastjson.parser.Pa
fastjson自动升级成fastjson2后 IDEA开发环境正常 打成jar包发布生成环境后报错异常 pom.xml的version自动升级导致
tanzongbiao的专栏
04-21 3411
原因:pom.xml中version配置成了自动获取最新的 <version>[1.2.31,)</version> 改为指定版本即可 <!--fastjson依赖包 注意返回的json带'\' 脚本段需要进行处理 直接返回对象没有'\'--> <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactI
Fastjson2你开始使用了吗?来看看源码解析
chenxuyuana的博客
07-03 1428
是项目的重要升级,目标是为下一个十年提供一个高性能的库。根据官方给出的性能来看,相比v1版本,确实有了很大的提升,本篇文章我们来看下究竟做了哪些事情,使得性能有了大幅度的提升。本篇将采用 + 的方式对FastJson2的性能提升做一个较为全面的探索。首先,我们搭建一套用于测试的环境,这里采用springboot项目,分别创建两个module:和。使用两个版本进行对比试验。代码结构如下所示:在父pom当中引入一些我们需要使用的公共依赖,这里为了简便,使用了 在fastjson当中引入fastjson的依赖
Tcsec安全研究院|fastjson漏洞分析
tcsecXD的博客
02-14 1320
fastjson 是一个 Java 库,可用于将 Java 对象转换为其 JSON 表示形式。
阿里巴巴fastjson版本从1.2.72升级到2.0.14。开启autoType,不支持Object对象接收强转成Java对象的解决方案。
netuser1937的博客
09-22 8487
阿里巴巴fastjson版本从1.2.72升级到2.0.14。开启autoType,不支持Object对象接收强转成Java对象的解决方案。
阿里巴巴温少再度出山重构fastjson推出fastjson2
念念不忘,必有回响
04-20 1万+
fastjson fastjson作为国内github star最多、最受欢迎的json解析库,在2021年后就基本不再维护。 可以看到待处理的issues大概有1.7k 而代码的提交慢慢变少,最后不怎么活跃 慢慢大多数公司都将json解析库换为jackjson。Spring Boot 默认的json解析器也是jackjson。 尽管fastjson有诸多优点,但是缺点也不少。 fastjson的一些小缺点 兼容性问题:与主流的jackson、gson不一致 安全性:会有一些安全漏洞(jack
fastjson1.2.83序列漏洞
08-18
对于fastjson 1.2.83版本序列漏洞,它是一种远程代码执行漏洞,可导致攻击者执行任意代码。该漏洞存在fastjson的TypeUtils类中,攻击者可以通过构造特定的JSON串来触发漏洞。具体来说,当JSON串中包含恶意类...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值