写点什么

Fastjson 官方再次披露高危漏洞,包括 rocketmq、jeecg-boot 等近 15% 的 github 开源项目受影响

作者:墨菲安全
  • 2022 年 5 月 24 日
  • 本文字数:805 字

    阅读完需:约 3 分钟

漏洞简述

2022 年 5 月 23 日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认 autoType 关闭限制,可能会导致远程服务器被攻击,风险影响较大。墨菲安全已在第一时间监控到该漏洞,并支持该漏洞的检测。

漏洞评级:严重

影响组件:com.alibaba:fastjson

影响版本:<= 1.2.80

墨菲安全通过 murphysec 开源工具对 github 7000 多个 java 开源项目进行了检测,发现本次漏洞至少影响 1031 个项目,其中 star 大于 500 的项目达到 290 个。

/jeecgboot/jeecg-boot

/alibaba/Sentinel

/xkcoding/spring-boot-demo

/Tencent/APIJSON

/apache/rocketmq

/alibaba/DataX

/zhaojun1998/zfile

/alibaba/jetcache

/alibaba/yugong

/alibaba/GraphScope

等项目均受到此次漏洞影响;

处置建议

1、升级到 1.2.83 版本,该版本涉及 autotype 行为变更,在某些场景会出现不兼容的情况,需要注意。

2、开启 safeMode 来禁用 autoType,开启方式参考官方说明:https://github.com/alibaba/fastjson/wiki/fastjson_safemode

3、使用 fastjson V2 版本,不完全兼容 1.x,升级需要做认真的兼容测试。

如何快速排查

目前墨菲安全已经支持此漏洞的检测,可使用墨菲安全平台及开源工具进行检测并修复。

墨菲安全开源 CLI 工具

使用 CLI 工具,在命令行检测指定目录代码的依赖安全问题

工具地址:https://github.com/murphysecurity/murphysec

具体使用方式可参考项目 README官方文档

说明:检测仅发生在您的本地环境中,不会上传任何代码至服务端

墨菲安全 IDE 插件

在 IDE 中即可检测代码依赖的安全问题,并通过准确的修复方案和一键修复功能,快速解决安全问题。

  • 使用方式:

IDE 插件市场中搜索“murphysec”即可安装(查看文档

选择“点击开始扫描”,即可检测出代码中存在哪些安全缺陷组件

以上几种检测方式均可在墨菲安全平台上查看详细的检测结果,并可以查看项目的直接或间接依赖信息。

参考链接

https://github.com/alibaba/fastjson/wiki/security_update_20220523

发布于: 刚刚阅读数: 3
用户头像

墨菲安全

关注

还未添加个人签名 2022.03.23 加入

还未添加个人简介

评论

发布
暂无评论
Fastjson官方再次披露高危漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响_安全_墨菲安全_InfoQ写作社区