意昂体育-科技赋能场景,让娱乐更有趣!

连忙拨打95015

首页 > 企业动态 > 公司新闻 > 又一”核弹级”误差？？？？？？fastjson误差影响深度丈量

又一”核弹级”误差？？？？？？fastjson误差影响深度丈量

时间：2022-05-25 作者：意昂体育-科技赋能场景,让娱乐更有趣!手艺研究院

分享到：

2022年5月23日，，，，，fastjson官方宣布清静转达，，，，，1.2.80及以下版本保存反序列化恣意代码执行误差，，，，，在特定条件下可绕过默认autoType关闭限制，，，，，可能会导致远程效劳器被攻击，，，，，误差品级为高危，，，，，危害影响较大[1]。。。。。

fastjson是Java、Android等平台普遍使用的JSON剖析库，，，，，大宗项目将其作为依赖，，，，，可谓Java生态最为常用的基础库之一。。。。。此误差事实造成多大的影响？？？？？？意昂体育-科技赋能场景,让娱乐更有趣!手艺研究院星图实验室使用自研的“天问”软件供应链平台对其举行了深度挖掘剖析。。。。。

1?

fastjson误差影响有多普遍？？？？？？

在MavenCentral这一Java最主要的客栈中，，，，，共有近万个Java包受到fastjson误差影响，，，，，占包总量的2.13%。。。。。

阻止2022年5月24日，，，，，我们发明MavenCentral中的9,902个Java包依赖于包括误差的fastjson版本，，，，，这意味着MavenCentral上约2.13%的软件包至少有一个版本受到此误差威胁。。。。。若是说去年底爆出log4j远程代码执行误差是一颗大型核弹的话（影响了约17,000个Java包，，，，，占比约4%），，，，，fastjson的误差影响不亚于一颗中型核弹了。。。。。

在MavenCentral上，，，，，直接依赖了fastjson误差版本的Java软件包数目抵达了3,845个，，，，，占到所有受影响Java包的38.8%，，，，，也就是说，，，，，有高达61.2%的Java包间接依赖了fastjson（即自身依赖的一个软件包依赖了fastjson）。。。。。

又一”核弹级”误差？？？？？？fastjson误差影响深度丈量

图1直接依赖误差软件包（左）和间接依赖误差软件包（右）泉源:GoogleSecurityBlog

2?

有哪些主要项目受影响？？？？？？

剖析发明ApacheDubbo、RocketMQ、Beam，，，，，阿里巴巴Nacos、Sentinel、京东云JavaSDK等主要项目依赖了含误差的fastjson版本，，，，，使用这些项目的开发者需要亲近关注误差修复希望，，，，，实时更新到补丁版本。。。。。

又一”核弹级”误差？？？？？？fastjson误差影响深度丈量

3?

此误差修复难题吗？？？？？？

直接使用了fastjson的项目修复不难。。。。。

间接依赖了fastjson的项目，，，，，依赖层级越深，，，，，修复所需办法就越多、难度越大。。。。。

图2显示了受影响的Java软件包依赖于fastjson的层级，，，，，层级为1代表直接依赖。。。。。浚�？？？？梢钥吹�，，，，，高达61.2%的Java包依赖层级凌驾1级，，，，，有凌驾500个Java包的依赖层级凌驾了5级，，，，，层级最深的软件包（如图3所示）的依赖深度甚至高达10级。。。。。对这些包的修复，，，，，需要将依赖链条中的所有层级逐一举行修复，，，，，因此难度较大。。。。。

参考log4j误差的修复时间，，，，，在误差披露的一周时间内，，，，，仅有约莫13%受到影响的软件包获得了修复[2]，，，，，这也为软件开发者、清静从业者敲响了警钟，，，，，可能未来一段时间内，，，，，针对fastjson误差的攻击将时有爆发。。。。。

又一”核弹级”误差？？？？？？fastjson误差影响深度丈量

图2受影响的Java软件包的依赖层级及对应数目

又一”核弹级”误差？？？？？？fastjson误差影响深度丈量

图3top.wboost:webmvc-spring-boot-starter软件包对fastjson的依赖深度抵达10级

4?

修复建议

1.更新到1.2.83及以上版本

可通过Maven包管理工具更新、手动更新至清静修复版本两种方法实现更新，，，，，GitHub开源项目最新的清静修复版本下载地点：

https://github.com/alibaba/fastjson/releases/tag/1.2.83

2.开启safeMode功效

fastjson在1.2.68及之后的版本中引入了safeMode，，，，，设置safeMode后，，，，，无论白名单和黑名单，，，，，都不支持autoType，，，，，可杜绝反序列化Gadgets类变种攻击（关闭autoType注重评估对营业的影响）,有三种方法设置SafeMode[3]：

（1）在代码中设置

ParserConfig.getGlobalInstance().setSafeMode(true);

（2）加上JVM启动参数

-Dfastjson.parser.safeMode=true

（3）通过fastjson.properties文件设置

通过类路径的fastjson.properties文件来设置，，，，，设置方法如下：

fastjson.parser.safeMode=true

3.升级到fastjsonv2

fastjson已经开源2.0版本，，，，，在2.0版本中，，，，，不再为了兼容提供白名单，，，，，提升了清静性。。。。。fastjsonv2代码已经重写，，，，，性能有了很大提升，，，，，不完全兼容1.x，，，，，升级需要做认真的兼容测试。。。。。

参考链接

[1]fastjsonsecurityupdate(2020-05-23),https://github.com/alibaba/fastjson/wiki/security_update_20220523.

[2]UnderstandingtheImpactofApacheLog4jVulnerability,https://security.googleblog.com/2021/12/understanding-impact-of-apache-log4j.html.

[3]Enablefastjsonsafemode,https://github.com/alibaba/fastjson/wiki/fastjson_safemode.

“天问”是由意昂体育-科技赋能场景,让娱乐更有趣!手艺研究院星图实验室开发的软件供应链清静剖析平台，，，，，专注于软件供应链生态的清静危害识别与检测。。。。。

我们现在正在招聘，，，，，事情所在笼罩北京、上海、南京、成都等都会，，，，，详情请拜见：

https://research.qianxin.com/recruitment/

推荐产品

相关新闻

您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问可用以下方法告诉我们

将您对意昂体育-科技赋能场景,让娱乐更有趣!的任何疑问

用以下方法告诉我们

联系客服提交信息网络清静效劳热线:95015

我猜您是

客户

求职者

快捷窗口

产品注册与激活

意昂体育-科技赋能场景,让娱乐更有趣!天守清静软件

顽固病毒专杀工具

旗下网站

网神

网康

手艺研究院

威胁情报中心

补天误差响应平台

NOX 清静监测

关于意昂体育-科技赋能场景,让娱乐更有趣!

意昂体育-科技赋能场景,让娱乐更有趣!简介

联系意昂体育-科技赋能场景,让娱乐更有趣!

收支口合规声明

95015效劳热线

微信公众号

Copyright ? 2014-2026 QIANXIN.COM All Rights Reserved 意昂体育-科技赋能场景,让娱乐更有趣! 京ICP备16020626号-8

京公网安备11000002002064号

隐私政策 | 网站地图

【网站地图】【sitemap】