近日,Fastjson Develop Team发布安全公告,修复了一个存在于Fastjson1.2.80及之前版本中的反序列化漏洞。
Fastjson是一个由JAVA语言编写的高性能JSON库,它采用名为“假定有序快速匹配”的算法将JSON Parse的性能提升到极致。由于Fastjson接口简单易用,目前已被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景中。
由于Fastjson基于autoType黑白名单对反序列化漏洞进行防御的安全机制存在缺陷,成功利用该缺陷可绕过autoType的防御机制,从而导致Fastjson将存在风险的类进行反序列化处理,以达到执行远程代码的目的。
特定依赖存在下影响 ≤1.2.80
风险评级:高危!
1. 升级到新版本1.2.83,下载地址:
https://github.com/alibaba/fastjson/releases/tag/1.2.83
该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。)
答:会的。因为我们也在使用Fastjson,且版本号是<fastjson.version>1.2.79</fastjson.version>,我们已经升级到最新版1.2.83,fork代码的同学可以pull最新的代码。或者手动修改一下父工程中的版本号,如下图所示:
如若转载,请注明出处:开源字节
https://sourcebyte.cn/article/140.html