近日 Fastjson Develop Team 发现 fastjson 1.2.80 及以下存在新的风险,请关注。 fastjson 已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 fastjson 用户尽快采取安全措施保障系统安全。
这个影响是不是有点大。我司目前还在用 1.2.34 ( CSDN 都有复现教程了
但是我同时有点好奇,这些漏洞怎么样去利用的?有什么论坛是交流这些的吗
我是 web 开发,并非网络安全方向,所以不太懂
1
ychost 2022-05-24 21:27:15 +08:00 1
fastJSON 几乎所有的漏洞都和 autoType 有关,这玩意儿大部分都用不到,关了之后就没啥问题,它主要解决的是反序列化的类不确定,比如 {"@type":"com.abc.biz.Label","name":"","value":""},那么反序列化的时候就会去用 classLoader 加载 com.abc.biz.Label 这个类,如果这个类被故意攻击,用到了 jdbc 里面的类,然后就比较危险了,比如 {"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}
就能加载远程 dataSource 了,个人建议能关 autoType 就关掉,想用的话开白名单模式 |
2
golangLover 2022-05-24 21:30:14 +08:00 via Android
没发现漏洞才是新闻吧。
还跟多国内文章推荐这个,害人不浅 |
3
pengtdyd 2022-05-24 21:37:22 +08:00
不知道是第 N 次听到出漏洞的消息了
|
4
sagaxu 2022-05-24 21:41:27 +08:00 1
这货有哪一年不出这类漏洞?
|
5
yangyaofei 2022-05-24 23:13:11 +08:00
@ychost 这个 type 貌似很多序列化库都有, 比如 jackson, 虽然但是, 我用 jackson...
|
6
Greatshu 2022-05-25 02:43:27 +08:00
现在还在用 fastjson 的一定是个加班爱好者
|
7
DreamSaddle 2022-05-25 07:57:10 +08:00
白学家:不会吧,不会吧,还有人敢用这玩意?
|
8
chendy 2022-05-25 08:20:59 +08:00
人生苦短,我选择 spring boot 默认的 hikari 和 fastjson ,能少配一点是一点
不过是代码就有漏洞,及时更新其实都没事 |
9
oneisall8955 2022-05-25 08:39:32 +08:00 via Android
@chendy springboot 默认 jackson 吧?
|
10
chendy 2022-05-25 08:59:20 +08:00
@chendy @oneisall8955 上班摸鱼手滑了……
|
12
potatowish 2022-05-25 09:21:34 +08:00 via iPhone
默认自带的 jackson 它不香吗,为什么还要单独引入 fastjson
|
13
0xfan 2022-05-25 09:26:37 +08:00
累了,就这样吧,有漏洞就有吧,躺平了 [/狗头]
|
14
f64by 2022-05-25 09:27:44 +08:00 1
以前在 README 里写 gson 是龟 son 缩写的,就是 fastjson 干的吧
|
15
xuanbg 2022-05-25 09:29:08 +08:00
反序列化的时候不能确定目标类型的话,肯定是设计问题,只要完善设计,就可以规避这种问题了。所以,fastjson 这个 autoType 功能真的就是画蛇添足。
|
17
AllenHua 2022-05-25 15:46:31 +08:00
Fastjson 到底做错了什么?为什么会被频繁爆出漏洞? https://www.163.com/dy/article/FGV541KF05319WXB.html
[高危安全通告] fastjson≤1.2.80 反序列化漏洞 https://juejin.cn/post/7101506799387279396 |
18
AllenHua 2022-05-25 15:47:33 +08:00
不过实际项目中,我挺喜欢用 fastjson 的啊(我是异类,狗头
|
19
hhjswf 2022-05-25 16:18:06 +08:00
5. 怎么判断是否用到了 autoType
看序列化的代码中是否用到了 SerializerFeature.WriteClassName 这东西基本没用到吧?管它呢,不升级。。 |
20
dbpe 2022-05-25 17:36:02 +08:00
唉..很多漏洞都是默认开启一些 xxx...实际上我们根本用不到....
|