Fastjson 反序列化漏洞 影响版本≤1.2.80

2022-05-24 21:06:19 +08:00
 twofox

近日 Fastjson Develop Team 发现 fastjson 1.2.80 及以下存在新的风险,请关注。 fastjson 已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 fastjson 用户尽快采取安全措施保障系统安全。

这个影响是不是有点大。我司目前还在用 1.2.34 ( CSDN 都有复现教程了

但是我同时有点好奇,这些漏洞怎么样去利用的?有什么论坛是交流这些的吗

我是 web 开发,并非网络安全方向,所以不太懂

4800 次点击
所在节点    Java
22 条回复
ychost
2022-05-24 21:27:15 +08:00
fastJSON 几乎所有的漏洞都和 autoType 有关,这玩意儿大部分都用不到,关了之后就没啥问题,它主要解决的是反序列化的类不确定,比如 {"@type":"com.abc.biz.Label","name":"","value":""},那么反序列化的时候就会去用 classLoader 加载 com.abc.biz.Label 这个类,如果这个类被故意攻击,用到了 jdbc 里面的类,然后就比较危险了,比如 {"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}
就能加载远程 dataSource 了,个人建议能关 autoType 就关掉,想用的话开白名单模式
golangLover
2022-05-24 21:30:14 +08:00
没发现漏洞才是新闻吧。


还跟多国内文章推荐这个,害人不浅
pengtdyd
2022-05-24 21:37:22 +08:00
不知道是第 N 次听到出漏洞的消息了
sagaxu
2022-05-24 21:41:27 +08:00
这货有哪一年不出这类漏洞?
yangyaofei
2022-05-24 23:13:11 +08:00
@ychost 这个 type 貌似很多序列化库都有, 比如 jackson, 虽然但是, 我用 jackson...
Greatshu
2022-05-25 02:43:27 +08:00
现在还在用 fastjson 的一定是个加班爱好者
DreamSaddle
2022-05-25 07:57:10 +08:00
白学家:不会吧,不会吧,还有人敢用这玩意?
chendy
2022-05-25 08:20:59 +08:00
人生苦短,我选择 spring boot 默认的 hikari 和 fastjson ,能少配一点是一点
不过是代码就有漏洞,及时更新其实都没事
oneisall8955
2022-05-25 08:39:32 +08:00
@chendy springboot 默认 jackson 吧?
chendy
2022-05-25 08:59:20 +08:00
@chendy @oneisall8955 上班摸鱼手滑了……
Saxton
2022-05-25 09:03:20 +08:00
@Greatshu 996 福报警告
potatowish
2022-05-25 09:21:34 +08:00
默认自带的 jackson 它不香吗,为什么还要单独引入 fastjson
0xfan
2022-05-25 09:26:37 +08:00
累了,就这样吧,有漏洞就有吧,躺平了 [/狗头]
f64by
2022-05-25 09:27:44 +08:00
以前在 README 里写 gson 是龟 son 缩写的,就是 fastjson 干的吧
xuanbg
2022-05-25 09:29:08 +08:00
反序列化的时候不能确定目标类型的话,肯定是设计问题,只要完善设计,就可以规避这种问题了。所以,fastjson 这个 autoType 功能真的就是画蛇添足。
zmal
2022-05-25 15:25:11 +08:00
@xuanbg 怎么规避?请指教。
AllenHua
2022-05-25 15:46:31 +08:00
Fastjson 到底做错了什么?为什么会被频繁爆出漏洞? https://www.163.com/dy/article/FGV541KF05319WXB.html

[高危安全通告] fastjson≤1.2.80 反序列化漏洞 https://juejin.cn/post/7101506799387279396
AllenHua
2022-05-25 15:47:33 +08:00
不过实际项目中,我挺喜欢用 fastjson 的啊(我是异类,狗头
hhjswf
2022-05-25 16:18:06 +08:00
5. 怎么判断是否用到了 autoType
看序列化的代码中是否用到了 SerializerFeature.WriteClassName

这东西基本没用到吧?管它呢,不升级。。
dbpe
2022-05-25 17:36:02 +08:00
唉..很多漏洞都是默认开启一些 xxx...实际上我们根本用不到....

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/855061

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX