Fastjson官方再次披露严重漏洞,包括rocketmq、jeecg-boot等近15%的github开源项目受影响

2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认autoType关闭限制,可能会导致远程服务器被攻击,风险影响较大。OSCS开源软件社区对此漏洞进行收录,漏洞信息如下:

漏洞评级:严重

影响组件:com.alibaba:fastjson

影响版本:<= 1.2.80

更多漏洞详细信息可进入OSCS社区查看:https://www.oscs1024.com/hd/MPS-2022-11320

同时,OSCS社区对Github上7000+个java项目进行了整体扫描,发现本次漏洞至少影响1031个项目,其中star大于500的项目达到290个。

受到此次漏洞影响的热门项目如下:

/apache/rocketmq /jeecgboot/jeecg-boot
/alibaba/Sentinel /xkcoding/spring-boot-demo
/Tencent/APIJSON /alibaba/DataX
/zhaojun1998/zfile /alibaba/jetcache
/alibaba/yugong /alibaba/GraphScope

漏洞检测分析工具: http://github.com/murphysecurity/murphysec

OSCS建议您以下三种修复方式:

1、升级到1.2.83版本,该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,需要注意。

2、开启safeMode来禁用autoType,开启方式参考官方说明:https://github.com/alibaba/fastjson/wiki/fastjson_safemode

3、使用fastjson V2版本,不完全兼容1.x,升级需要做认真的兼容测试。

OSCS联合墨菲安全为您提供了快速检测工具,能够帮助您快速排查项目是否受到影响

同时,OSCS也欢迎您加入OSCS社区,成为守护者计划的一员;

加入守护者计划之后,OSCS会对您的项目进行持续的监测和扫描,一旦发现有安全风险,将会提醒您进行关注;

加入方式:https://www.oscs1024.com/join

OSCS也欢迎各位开发者们,引用依赖之前可以来OSCS(oscs1024.com)搜一搜,看一看, 让自己的代码更安全。

你可能感兴趣的:(安全,java,web安全,开发语言)