fastjson漏洞修复:开启safeMode来禁用autoType-Toy模板网

这篇具有很好参考价值的文章主要介绍了fastjson漏洞修复:开启safeMode来禁用autoType。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

fastjson漏洞修复:开启safeMode来禁用autoType

Fastjson官方再次披露严重漏洞，包括rocketmq、jeecg-boot等近15%的github开源项目受影响

2022年5月23日，fastjson 官方发布安全通报，fastjson <= 1.2.80 存在反序列化任意代码执行漏洞，在特定条件下可绕过默认autoType关闭限制，可能会导致远程服务器被攻击。

漏洞信息如下：

漏洞评级：严重

影响组件：com.alibaba:fastjson

影响版本：<= 1.2.80

官方建议一个是升级版本，一个是修改safeMode方式。

下面是官方给的safeMode修改建议：

修复方案来自官方github:fastjson_safemode · alibaba/fastjson Wiki · GitHub

打开SafeMode功能

在1.2.68之后的版本，在1.2.68版本中，fastjson增加了safeMode的支持。safeMode打开后，完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。

有三种方式配置SafeMode，如下:

1. 在代码中配置

ParserConfig.getGlobalInstance().setSafeMode(true);

注意，如果使用new ParserConfig的方式，需要注意单例处理，否则会导致低性能full gc。

2. 加上JVM启动参数

    -Dfastjson.parser.safeMode=true

如果有多个包名前缀，用逗号隔开

3. 通过fastjson.properties文件配置。

通过类路径的fastjson.properties文件来配置，配置方式如下：

fastjson.parser.safeMode=true

4. safeMode场景如何做autoType

在1.2.68之后的版本，提供了AutoTypeCheckHandler扩展，可以自定义类接管autoType, 通过ParserConfig#addAutoTypeCheckHandler方法注册。

// com.alibaba.fastjson.parser.ParserConfig.AutoTypeCheckHandler
    /**
     * @since 1.2.68
     */
    public interface AutoTypeCheckHandler {
        Class<?> handler(String typeName, Class<?> expectClass, int features);
    }

    // com.alibaba.fastjson.parser.ParserConfig#addAutoTypeCheckHandler

5. 怎么判断是否用到了autoType

看序列化的代码中是否用到了SerializerFeature.WriteClassName

JSON.toJSONString(obj, SerializerFeature.WriteClassName); // 这种使用会产生@type

6. 使用JSONType.autoTypeCheckHandler

在fastjson 1.2.71版本中，提供了通过JSONType配置autoTypeCheckHandler的方法，比如：

public class JSONTypeAutoTypeCheckHandlerTest extends TestCase {
    public void test_for_checkAutoType() throws Exception {
        Cat cat = (Cat) JSON.parseObject("{\"@type\":\"Cat\",\"catId\":123}", Animal.class);
        assertEquals(123, cat.catId);
    }

    @JSONType(autoTypeCheckHandler = MyAutoTypeCheckHandler.class)
    public static class Animal {

    }

    public static class Cat extends Animal {
        public int catId;
    }

    public static class Mouse extends Animal {

    }

    public static class MyAutoTypeCheckHandler implements ParserConfig.AutoTypeCheckHandler {

        public Class<?> handler(String typeName, Class<?> expectClass, int features) {
            if ("Cat".equals(typeName)) {
                return Cat.class;
            }

            if ("Mouse".equals(typeName)) {
                return Mouse.class;
            }

            return null;
        }
    }
}

如有需要修改本注脚,请联系阿里巴巴。

fastjson_safemode · alibaba/fastjson Wiki · GitHub文章来源地址https://www.toymoban.com/news/detail-441195.html

到了这里，关于fastjson漏洞修复:开启safeMode来禁用autoType的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！