关于 Fastjson 官方发布公告称在 1.2.83以下版本中存在新的反序列化风险, 进行如下说明
漏洞描述
Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java
Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。由于具有执行效率
高的特点,应用范围广泛。在 1.2.69 版本对反序列化漏洞进行修复后,仍然可通过其他方式绕
过修复措施进行漏洞利用。
风险描述
KOCA 3.2.0及以下版本,使用fastjson 版本为1.2.70,存在安全风险,现进行修复说明。
修复方案(任选一种)
-
升级KOCA到3.3.0及以上版本(暂未发版)
KOCA 3.3.0中会指定fastjson为安全版本,并会屏蔽autoType, 避免出现类似情况 -
在应用bootapp pom指定fastjson 版本为 1.2.83
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.83</version>
</dependency>
临时修复方案(任选一种)
1.在应用启动时添加参数 (推荐)
-Dfastjson.parser.safeMode=true
2.在代码中配置:
ParserConfig.getGlobalInstance().setSafeMode(true);