近日Fastjson Develop Team發(fā)布安全公告，F(xiàn)astjson≤1.2.80版本中存在反序列化漏洞。攻擊者可繞過默認(rèn)autoType關(guān)閉限制，攻擊遠(yuǎn)程服務(wù)器，風(fēng)險(xiǎn)影響較大。

目前Jeecgboot官方已完成修復(fù)，在此 建議Jeecgboot用戶盡快修復(fù)。

修復(fù)方案非常簡單：

• 1.修改jeecg-boot\pom.xml文件中的，fastjson及jeewx-api版本

• 2.修改jeecg-boot-module-system/pom.xml文件，添加fastjson排除

漏洞描述

• fastjson是阿里巴巴的開源JSON解析庫，它可以解析JSON格式的字符串，支持將Java Bean序列化為JSON字符串，也可以從JSON字符串反序列化到JavaBean，由于具有執(zhí)行效率高的特點(diǎn)，應(yīng)用范圍廣泛。

• fastjson已使用黑白名單用于防御反序列化漏洞，經(jīng)研究該利用在特定條件下可繞過默認(rèn)autoType關(guān)閉限制，攻擊遠(yuǎn)程服務(wù)器，風(fēng)險(xiǎn)影響較大。

官方安全建議

• 1.升級(jí)到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83

  該版本涉及autotype行為變更，在某些場景會(huì)出現(xiàn)不兼容的情況，如遇遇到問題可以到 https://github.com/alibaba/fastjson/issues尋求幫助。

• 2.fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，無論白名單和黑名單，都不支持autoType，可杜絕反序列化Gadgets類變種攻擊（關(guān)閉autoType注意評(píng)估對業(yè)務(wù)的影響）。

  開啟方法可參考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode。

  1.2.83修復(fù)了此次發(fā)現(xiàn)的漏洞，開啟safeMode是完全關(guān)閉autoType功能，避免類似問題再次發(fā)生，這可能會(huì)有兼容問題，請充分評(píng)估對業(yè)務(wù)影響后開啟。

• 3.可升級(jí)到fastjson v2 https://github.com/alibaba/fastjson2/releases