关于Java组件fastjson存在反序列化漏洞

    一、简介说明

      据国家网络与信息安全信息通报中心监测发现，阿里巴巴公司开源Java开发组件fastjson存在反序列化漏洞。fastjson被众多java软件作为组件集成，广泛存在于java应用的服务端代码中。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为，造成服务器权限被窃取、敏感信息泄漏等严重影响。此次事件影响fastjson1. 2. 80及之前所有版本。

    目前，阿里巴巴公司巳发布fastjson最新版本1.2. 83以修复该涌洞，组件升级地址为：https://github.com/alibaba/fastjson/rel eases/tag/1. 2. 83。

• 一是及时排查本行业、本单位受影响情况，在确保安全的前提下修复漏洞、消除隐患，提高网络系统安全防护能力，严防网络攻击事件；

• 二是及时开展系统自查自检和安全加固，提高系统安全防护能力，严防发生网络攻击事件；

• 三是加强安全监测，做好应急处置准备，发生重大网络安全事件要要及时报告上级主管部门和公安机关网安部门。

二、排查工具和流程：

Windows系统下：

• 建议用Everyting进行全磁盘扫描检索。看有没有fastjson低版本包存在。如下图：下载地址：Windows系统文件检索工具+Everything+方便搜索-WindowsServer文档类资源-CSDN下载
• 当然，也可以在代码编辑器里进行搜索，比如用IDEA的同学可以使用dependency analyzer这个插件，对项目的各种包版本号进行确认。其他的编辑器也会有对应的工具
• 还可以进行人工排查。这种方法就是比较浪费时间。

Linux系统下：

•  查看当前目录下的jar包，不包括子目录：ls fastjson-*.jar

• 查看当前目录下的所有jar包，会递归查找所有子目录：find . -iname "*.jar"

 当然排查只是过程。最重要的还是要把低版本的包去掉。用maven的就直接在pom.xml 文件里进行修改版本号。然后再重新打包发布到生产环境。