fastjson漏洞升级修复小记

最新推荐文章于 2025-06-25 09:08:11 发布
转载 最新推荐文章于 2025-06-25 09:08:11 发布 · 2.9k 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/bfleeee/blog/872166
文章标签:

#java #json #python

本文详细介绍了FastJSON序列化框架中的远程执行漏洞及其修复方法。包括升级FastJSON版本、增加autotype白名单,并通过反射机制确保兼容性。

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

自从3.15温少公布了这个安全升级公告,在不少同行朋友圈里广为流传,最诧异的不外乎“一个序列化框架竟然会出现远程执行的漏洞”,其实如果用过fastjson的序列化类名功能就不难想到,在序列化写入类名后,反序列化时必然会用到这个类名进行对象类型的识别和创建。

public static void main(String[] args) throws IOException {
		Model t = new Model();
		t.setName("test");
		String json = JSON.toJSONString(t, SerializerFeature.WriteClassName);
		System.out.println(json);
		System.out.println(JSON.parseObject(json,Object.class));
	}
	static class Model{
		private String name;

		public String getName() {
			return name;
		}

		public Model setName(String name) {
			this.name = name;
			return this;
		}
	}

输出:

{"@type":"fastjson.FastjsonBugTest$Model","name":"test"}

fastjson.FastjsonBugTest$Model@763d9750

在没有限制反序列化类型的前提下,理论上是可以构建出一些有意思的特殊对象的,感兴趣可以尝试。这里只说修复。

升级fastjson版本

由于线上环境比较复杂,一个业务线包含10+项目,都使用maven管理,有一些项目是maven多模块项目。加上开发时间不同,开发人员不同,没有统一管理,这就形成了错综复杂的依赖关系。单说fastjson的依赖,版本有1.2.6,1.1.46,1.1.41,1.2.8...总之是不少。

关于如何升级修复版本,官方给出了比较详尽的兼容列表,照着升就行了。

增加autotype白名单

由于在缓存层依赖fastjson使用className做反序列化的自动类型判断,直接升级的话,会禁止autotype功能,需要添加可反序列化的白名单。

static{
    ParserConfig.getGlobalInstance().addAccept("com.xxxx.");
}

修改完成后运行了几天是没有问题的。但是过了几天,另一个业务线的同事上线一个新功能,重启之后失败,不停地报不能实例化实例的异常。查看了异常堆栈,发现是静态代码块抛出了异常NoSuchMethodError。原因是此业务线之前的同事阴差阳错地引用了我们业务线的依赖,在使用时加载了自己的低版本的fastjson,ParserConfig不支持addAccept方法。

虽然这种方式本来就不是正确的,但是本着程序健壮性的原则,修改了一下代码,使用反射调用方法:

static {

        // 针对fastjson暴露的严重bug修改 开启autotytype白名单 https://github.com/alibaba/fastjson/wiki/enable_autotype
        String methodName = "addAccept";
        String args = "com.xxxxx.";
        ParserConfig parserConfig = ParserConfig.getGlobalInstance();
        boolean executed = false;
        try {
            for(Method m : ParserConfig.class.getDeclaredMethods()){
                if(m.getName().equals(methodName)){
                    m.invoke(parserConfig, args);
                    executed = true;
                }
            }
        } catch (IllegalAccessException e) {
            e.printStackTrace();
        } catch (InvocationTargetException e) {
            e.printStackTrace();
        } catch (Throwable e){
            e.printStackTrace();
        }
        // 执行不成功的依然使用老版本fastjson,无需开启白名单
        System.out.println("fastjson 漏洞修复,白名单添加结果: "+executed);
    }

注意要使用会优先加载的类,推荐写一个类放到容器中进行加载。 升级整体上还是比较简单的,官方给出的方法也比较详尽,只要注意一下多项目的兼容就OK了。

转载于:https://my.oschina.net/bfleeee/blog/872166

fastjson漏洞导致服务瘫痪,先别忙升级
zxiaofan.com
10-13 2117
1、背景   2019年9月5日,fastjson修复了当字符串中包含\x转义字符时可能引发OOM的问题。建议广大用户升级fastjson版本至少到1.2.60。  一个bug这么恐怖,竟然直接OOM,亲身体验下吧。测试代码如下: JSON.parse("[{\"a\":\"a\\x]"); 实验效果:4分钟 堆内存 占用上升达2G;  &em...
fastjson漏洞--以运维角度进行修复
菜鸟运维升级之路
09-11 1425
漏洞是三个月前由安全团队扫描出来的,主要影响是: FastJSON是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。FastJSON 存在反序列化远程代码执行漏洞漏洞成因是Fastjson autoType开关的限制可被绕过,然后反序列化有安全风险的类。攻击者利用该漏洞可实现在目标机器上的远程代码执行。本文主要从运维侧修复手段介绍了该漏洞的两种修复方式。
alibaba-fastjson漏洞升级记录
sjy_2010的专栏
07-14 1025
alibaba-fastjson漏洞升级记录
JSON Repair项目解析:处理缺失引号的JSON修复技术
最新发布
gitblog_07058的博客
06-25 392
JSON数据处理过程中,我们经常会遇到格式不规范的情况,其中缺失引号是最常见的错误之一。本文将以JSON Repair项目为例,深入分析如何处理这类问题。 ## 问题背景 JSON规范要求所有字符串值必须用双引号包裹,但在实际应用中,我们经常会遇到以下两种典型错误: 1. 只有开头引号缺失的情况 2. 开头和结尾引号都缺失的情况 这些错误会导致JSON解析失败,影响数据处理流程。 ##...
fastjson 版本漏洞,请至少升级到1.2.60
默默不代表沉默
11-27 3039
0x00 漏洞背景 2019年9月5日,fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含x转义字符时可能引发OOM的问题的修复。 360CERT 判断该漏洞危害中。影响面较大。攻击者可以通过发送构造好的请求而致使当前线程瘫痪,当发送的恶意请求过多时有可能使业务直接瘫痪。 建议广大用户对自身的业务/产...
fastjson漏洞
m0_37180957的博客
05-30 554
对于最新版本的fastjson,是有漏洞的。 版本: com.alibaba fastjson 1.2.68 在序列化的过程中,是存在白名单漏洞的。具体需要关注一下反序列化的过程。 https://cert.360.cn/daily
它又又又来了,Fastjson 最新高危漏洞来袭!快升级
emprere的博客
05-31 415
往期热门文章:1,《往期精选优秀博文都在这里了!》2、呕心沥血总结的14张思维导图,教你构建 Python核心知识体系(附高清下载)3、一份来自亚马逊技术专家的Google面试指南,Gi...
Fastjson漏洞分析与复现
未完成的歌~的博客
08-26 1869
fastjson是阿里巴巴开源的JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。
fastjson漏洞环境
01-12
- **升级 Fastjson**:最有效的防护措施是尽快将 Fastjson 库更新到最新且安全的版本。 - **禁用自动类型转换**:可以配置 Fastjson 禁用自动类型转换,以降低反序列化风险。 - **输入验证**:对所有传入的 JSON ...
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 4410
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
fastjson1.2.74版本发布,fastjson低版本存在反序列化漏洞升级
yukuleshui的博客
07-06 1754
介绍说明 fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。最为第三方库在项目中会使用,提供了方便。 但在安全方面fastjson总是被曝出存在反序列化安全漏洞,会造成会服务器的攻击,风险极大。 影响版本 fastjson <=1.2.68 fastjson sec版本 <= sec9 android版本不受此漏洞影响 解决办法 升级至最新版本1.2.74 <de
高危,Fastjson反序列化远程代码执行漏洞风险通告,请尽快升级
葡萄城技术团队博客
05-24 5539
据国家网络与信息安全信息通报中心监测发现,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。 据统计,此次事件影响Fastjson 1.2.80及之前所有版本。目前, Fastjson最新版本1.2.83已修复漏洞。 葡萄城提醒广大开发者:请及时排查梳理受影响情况,在确保安全的前提下修复漏洞、消除隐患,提高网络系统安全防护能力,严防网络攻击事件。 漏洞描述 5月23日,Fastj
告急!fastjson又被发现漏洞,这次危害可导致服务瘫痪!
Java后端技术
09-08 391
点击上方“Java后端技术”,选择“置顶或者星标”你关注的就是我关心的!本文来源:https://tinyurl.com/y53yanrw上一篇:不敢相信?System....
NS-2020-0011fastjson 远程代码执行漏洞
勤不了一点
05-24 1206
TAG: fastjson、Jackson-databind、远程代码执行 危害等级: 高,攻击者利用此漏洞,可造成远程代码执行。 漏洞详情:【漏洞通告】fastjson<=1.2.62远程代码执行漏洞通告 fastjson是阿里巴巴的开源JSON解析库,在特定条件下可绕过默认autoType关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行 临时处理:【漏洞通告】fastjson<=1.2.62远程代码执行漏洞通告 升级处理
fastjson升级汇总
u011165335的博客
05-01 3001
fastjson更新的坑fastjson由1.2.7更新至1.2.56 fastjson从1.1.41升级到1.2.28的坑 fastjson漏洞升级修复小记 FastJson 1.1.26升级到1.2.58后出现的问题 1.2.44升级至1.2.68升级问题 fastjson升级版本遇到的问题 安全补丁版本升级建议 ...
Fastjson漏洞
qq_41696518的博客
06-27 1746
Fastjson是阿里巴巴公司开源的一款json解析器,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到JavaBean。
fastjson漏洞升级
01-14
### Fast 路由器固件漏洞详情及安全升级方法 #### 4.1 避免固件升级风险 在进行Fast路由器固件升级时,需要注意多个方面以确保过程顺利并减少潜在的风险。为了防止因不当操作引发的问题,务必遵循官方发布的具体指导说明[^1]。 对于提到的`FastAdmin`后台开发框架中存在的任意文件读取漏洞,此问题源于`/index/ajax/lang`接口的设计缺陷,允许未授权访问者获取敏感数据,如数据库配置和其他系统设置信息,这无疑给站点带来了严重的安全隐患[^3]。 针对上述提及的安全隐患,采取如下措施可以有效降低风险: - **备份现有配置**:在执行任何更改之前保存当前系统的全部参数设定,以便出现问题时能迅速恢复到先前稳定的状态。 - **确认来源合法性**:只下载来自制造商官方网站或其他可信渠道提供的最新版固件包,避免第三方平台可能存在的恶意篡改版本。 - **阅读发行日志**:仔细查看每次发布的新特性介绍文档,特别是有关修复哪些已知错误的信息部分,从而判断此次更新是否解决了所关心的具体问题。 - **测试环境先行**:如果条件允许的话,在正式部署前先在一个隔离的小规模网络环境中试运行一段时间,观察是否有异常情况发生再决定大规模推广。 - **监控反馈机制建立**:完成安装之后持续关注设备表现状况,并鼓励用户提供使用体验报告,一旦发现新的兼容性或者其他类型的故障能够快速响应处理。 关于具体的升级流程和技术细节,则应参照产品手册或厂商技术支持团队给出的操作指南来进行。例如,在涉及像RuoYi-Fast这样的项目时,当面临诸如CVE-2022-40664这样特定编号的安全通告时,除了按照常规步骤外还需特别注意对受影响组件(这里是Apache Shiro)做出针对性调整,比如适当修改`ShiroConfig.java`内的过滤器注册逻辑以匹配新版API的要求[^4]。 ```java // 修改后的ShiroConfig.java示例片段 @Configuration public class ShiroConfig { @Bean public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager){ ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean(); // ...其他初始化代码... Map<String, Filter> filters = new LinkedHashMap<>(); filters.put("authc", formAuthenticationFilter()); factoryBean.setFilters(filters); return factoryBean; } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值