阅读 186

Fastjson又发布了重大安全问题更新,看看你们是否中招

前言

2020年3月19日,Fastjson发布了1.2.67版本,并且标题是Bug修复安全加固补充说明了,这又是一个Bug修复安全加固版本,增强了autoType黑名单。

什么是autotype安全黑名单?

Fastjson在2020年3月份曝出一个远程代码执行的重大安全漏洞,一旦能过将远程代码在服务器上运行,那么将存在大量安全问题,对此官方采取了两个措施来解决这个漏洞:

  • 默认关闭autotype功能
  • 如果开启autotype功能,则用开启黑名单来拦截非法的代码,

但是后来发现就算开启黑名单,也可以通过改变相关的类名来绕过黑名单,从而来执行远程代码。对此,Fastjson一直在补充autotype黑名单。

其余的版本发布记录可以看该地址:github.com/alibaba/fas…

至今autotype黑名单应该还是没有补充完整,最近有人也提出来部分没有加入黑名单的类:

如果你们发现了新的需要加黑名单的类,也可以给官方提issues。

那么你们公司是否又中招了呢?快点报给你们的安全工程师吧!

送福利区域

扫描下方二维码关注公众号【加点代码调调味】 点击菜单栏获取免费49篇的《Dubbo源码解析》系列文章