本文档详细介绍了如何修复iServer产品中的Fastjson漏洞,包括漏洞通报、修复步骤和安全补充措施。用户需要下载最新版本的fastjson包,升级iServer到10.2.1,并设置安全模式来防止潜在的安全风险。
最近fastjson漏洞被大量爆出,iServer产品中也使用了fastjson jar包,现将iServer修复fastjson漏洞步骤整理如下:
一、漏洞通报
据国家网络与信息安全信息通报中心监测发现,阿里巴巴公司开源Java开发组件fastjson存在反序列化漏洞。fastjson被众多java软件作为组件集成,广泛存在于java应用的服务端代码中。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。此次事件影响fastjson 1.2.80及之前所有版本。目前,阿里巴巴公司已发布fastjson最新版本1.2.83以修复该漏洞,组件升级地址为:Release FASTJSON 1.2.83版本发布(安全修复) · alibaba/fastjson · GitHub。 请各单位高度重视,迅速通报预警本辖区、本系统单位,及时排查梳理受影响情况,在确保安全的前提下修复漏洞、消除隐患,提高网络系统安全防护能力,严防网络攻击事件。同时,加强安全监测,做好应急处置准备,发现突出情况要迅速处置并第一时间报告。
二、漏洞修复
1.下载最新版本fastjson包(1.2.83版本):Release FASTJSON 1.2.83版本发布(安全修复) · alibaba/fastjson · GitHub
2.iServer升级至10(建议升级至最新版本10.2.1)
3.将fastjson包拷贝至iServer产品目录下,旧版本的fastjson包删除,目录如下:..\webapps\iserver\WEB-INF\lib
4.重新启动iServer产品
三、补充
如果扫描发现还有漏洞,可尝试开启safemode
1.用文本编辑器打开启动脚本:..\bin\catalina.bat(linux:..\bin\catalina.sh)
2.加上JVM启动参数:-Dfastjson.parser.safeMode=true
3.重新启动iServer产品
四、参考
关于fastjson漏洞修复,参考博客如下:
①:fastjson的漏洞解决—2020年5月28日_姜秀丽的博客-优快云博客_fastjson.properties
②:https://baijiahao.baidu.com/s?id=1671603044044877345&wfr=spider&for=pc
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
