[alibaba/fastjson]漏洞修复方案

2024-05-23 597 views
8

解决方案 Fastjson 1.2.69版本暂未发布,可先采取以下缓解措施规避风险,并持续关注官方新版本发布信息。

建议升级至 Fastjson 1.2.68 版本,该版本中引入一个safeMode的配置,配置safeMode后,无论白名单和黑名单,都不支持autoType。

有三种方式配置SafeMode:

在代码中配置 ParserConfig.getGlobalInstance().setSafeMode(true);

加上JVM启动参数 -Dfastjson.parser.safeMode=true

如果有多个包名前缀,用逗号隔开。

通过类路径的fastjson.properties文件配置 fastjson.parser.safeMode=true

回答

9

请问 1.2.60 及其以下较低的版本,通过禁用哪些功能,规范哪些行为,可以永久避免漏洞的产生? 建议进行哪些设置?不要进行哪些设置?即通过规范和封装来避免漏洞 毕竟老是升级费时费力 请指教

2

对呀,1.2.60以下版本有兼容的补丁版本吗

7

兼容包都会有的,正在测试验证

7

任何产品都可能会有缺陷,愿fastjson越来越完善,加油。。

9

最近几年fastjson的安全漏洞基本上都是autotype带出来的,但autotype使用场景很窄,还是出一个不带任何开关和autotype的简化版吧

1

我已经受够了升级- - 再见了用 GSON去了

1

解决方案 Fastjson 1.2.69版本暂未发布,可先采取以下缓解措施规避风险,并持续关注官方新版本发布信息。

建议升级至 Fastjson 1.2.68 版本,该版本中引入一个safeMode的配置,配置safeMode后,无论白名单和黑名单,都不支持autoType。

有三种方式配置SafeMode:

在代码中配置 ParserConfig.getGlobalInstance().setSafeMode(true);

加上JVM启动参数 -Dfastjson.parser.safeMode=true

如果有多个包名前缀,用逗号隔开。

通过类路径的fastjson.properties文件配置 fastjson.parser.safeMode=true

我想请问一下ParserConfig.getGlobalInstance().setSafeMode(true);是具体加在哪?如果我采用的springboot项目,是不是直接加在main方法中就可以了?

7

加油

3

我已经受够了升级- - 再见了用 GSON去了

用sec10应该不会有兼容性问题吧,升级成本还好,温少还是很贴心的