【转发】关于fastjson出现反序列化远程代码执行漏洞的通知



近日fastjson出现反序列化远程代码执行漏洞。天翼云提醒用户:请尽快采取措施进行排查与防护。

漏洞详情


漏洞名称: fastjson反序列化远程代码执行漏洞

漏洞编号: 暂无

漏洞类型: 远程任意代码执行

组件名称: fastjson

影响版本: fastjson ≤ 1.2.80

漏洞等级: 严重

https://www.cnvd.org.cn/flaw/show/CNVD-2022-40233


官方升级:


目前官方已在最新版本1.2.83中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://github.com/alibaba/fastjson/releases



升级步骤如下:


1. 备份原fastjson依赖库,避免升级失败的情况发生。


2. 将低版本的fastjson库替换为2.83版本即可



开发人员可通过配置Maven的方式对应用进行升级并编译发布,配置如下:

<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.83</version>
</dependency>


注:该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,若遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。


PS文章链接:https://baijiahao.baidu.com/s?id=1733619720071787030&wfr=spider&for=pc

收到提醒了。我比较喜欢用fastjson。那啥,升吧。。。社区内提个醒。

PS:如梦技术春哥帖子》

升级到 fastjson2 https://mp.weixin.qq.com/s/tNPIeqJfzN55EDibdE1GtQ


评论区

山东小木

2022-05-24 22:09

老杜 有时间可以分享一下 1.2.x 如何升级到2.0.x

杜福忠

2022-05-25 09:51

好的 @山东小木 老师,当前因为是老项目,所以小升一下。据说1到2有部分兼容问题,包名也改了,我把手上项目小结一下了再看下咋弄下,估计是复制MixedJsonFactory改改名称FastJson2Factory啥的就行

山东小木

2022-05-25 10:01

@杜福忠 其实这些tojson parseJson没怎变 主要是用fastjson1的时候 很多序列化特性feature都没了

happyboy

2022-06-02 09:10

对于绝大多数项目来讲,开启safeMode模式就好了。最近几次安全问题都是因为autoType功能导致的。

happyboy

2022-06-02 09:13

此次还有个诡异的地方,就是阿里云官方的安全公告,至今未提及此次安全问题。

杜福忠

2022-06-02 09:59

@happyboy 不是很清楚啥流程,看见漏洞才知道有奇奇怪怪的用法什么@ 标记啥的。。。想升级2吧,要改包名,就不是很想处理,有空了再操作吧,用的MixedJsonFactory了