前言
2020年3月19日,Fastjson发布了1.2.67版本,并且标题是Bug修复安全加固补充说明了,这又是一个Bug修复安全加固版本,增强了autoType黑名单。
什么是autotype安全黑名单?
Fastjson在2020年3月份曝出一个远程代码执行的重大安全漏洞,一旦能过将远程代码在服务器上运行,那么将存在大量安全问题,对此官方采取了两个措施来解决这个漏洞:
- 默认关闭autotype功能
- 如果开启autotype功能,则用开启黑名单来拦截非法的代码,
但是后来发现就算开启黑名单,也可以通过改变相关的类名来绕过黑名单,从而来执行远程代码。对此,Fastjson一直在补充autotype黑名单。
其余的版本发布记录可以看该地址:github.com/alibaba/fas…
至今autotype黑名单应该还是没有补充完整,最近有人也提出来部分没有加入黑名单的类:
如果你们发现了新的需要加黑名单的类,也可以给官方提issues。
那么你们公司是否又中招了呢?快点报给你们的安全工程师吧!
送福利区域
扫描下方二维码关注公众号【加点代码调调味】 点击菜单栏获取免费49篇的《Dubbo源码解析》系列文章
