fastjson 真就突出一个阴魂不散

2022-05-25 09:52:12 +08:00
 fanxasy
接集团预警通报 2022 年第 13 号:监测发现,Java 开发组件 fastjson 存在反序列化漏洞。fastjson 被众多 java 软件作为组件集成,广泛存在于 java 应用的服务端代码中。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。此次事件影响 fastjson 1.2.80 及之前所有版本。目前,已发布 fastjson 最新版本 1.2.83 以修复该漏洞,组件升级地址为: https://github.com/alibaba/fastjson/releases/tag/1.2.83 。请各系统建设部门及时排查梳理受影响情况,在确保安全的前提下修复漏洞、消除隐患,提高网络系统安全防护能力,严防网络攻击事件。同时,加强安全监测,做好应急处置准备,发现突出情况要迅速处置并第一时间报告数据中心。
14050 次点击
所在节点    Java
97 条回复
NewTab12138
2022-05-25 17:30:26 +08:00
建议离阿里的开源项目远一点
ragnaroks
2022-05-25 17:30:31 +08:00
@frisktale dotnet 新的内置(特指 system.text.json )其实就是收编了牛汤杰森
elintwenty
2022-05-25 17:30:38 +08:00
@Joker123456789 gson 并不比 fastjson 难用,上手极快
dqzcwxb
2022-05-25 17:30:45 +08:00
Fastjson 出 bug 就是国产垃圾
Jackson 出 bug 就是难免出问题能理解
dbpe
2022-05-25 17:32:12 +08:00
@MakHoCheung jakarta 这玩意...我记得 base in jdk11 吧?
hidemyself
2022-05-25 17:50:23 +08:00
v 站输出阿里也是政治正确吗。。

Dubbo,Druid,Nacos,Sentinel,arthas 等等好像都是阿里的
debuggeeker
2022-05-25 17:57:33 +08:00
当一个漏洞公开声明的时候,已经没有利用价值了
opengps
2022-05-25 18:04:42 +08:00
反过来想,其实那些“没有问题的库”,出问题风险更大
pcmgr456
2022-05-25 18:23:29 +08:00
@cp19890714 毕竟国内很多人觉得阿里开源的东西高级
jim9606
2022-05-25 19:10:29 +08:00
又是 AutoType 的问题。
罪过就是功能太强大,功能一复杂就容易出漏洞。
跟 Log4j 那个漏洞也是有一些相似,有多少人知道为啥一个日志库有动态 class 执行的功能呢。
ivechan
2022-05-25 19:13:32 +08:00
国外很多开源软件其实也有漏洞。。。大可平常心看待。
ufan0
2022-05-25 19:20:45 +08:00
早期确实坑爹,现在就平常心看待吧,出问题不可怕,怕的是解决不了以及解决效率。
就这点看来,fastjson 还是优秀的。

另外慎用 fastjson2 ,同事近期还给 fastjson2 提了兼容性 issue 已被确认。
Oktfolio
2022-05-25 19:25:15 +08:00
@xgfan
@fiveStarLaoliang

随便找个初中级都知道默认 ObjectMapper 注册到了 Spring Context 中,不要想当然。
EarthChild
2022-05-25 19:34:09 +08:00
@DrJoseph #40 哈哈哈这句话是针对 #11 说的吗?哈哈哈
@fwee #11
EvanLuo42
2022-05-25 19:36:50 +08:00
@sheeta 内置的反序列化库也有洞的吧,前几天刚做到题
zhleonix
2022-05-25 19:49:31 +08:00
@AA5DE3F034ACCB9E 的确,Fastjson 的 API 比较简单,jackson 麻烦。
ychost
2022-05-25 19:56:36 +08:00
基本的序列化 /反序列化都有类似漏洞,关 authType 保平安,那玩意儿除了 RPC 之外,其它应用场景真的很少
sprite82
2022-05-25 21:27:40 +08:00
@xgfan #36 人家不是说了,要手写工具类,Jackson api 实在不好用,这也是 fastjson 流行的原因之一。而不是注入不注入的问题,哪怕不是注入的,写个单例也比定义个变量再用注解方便
mikulch
2022-05-25 21:35:24 +08:00
@Oktfolio 还真不知道。。。每次用的时候不用自己 new 出来?
6IbA2bj5ip3tK49j
2022-05-25 21:41:33 +08:00
@sprite82 最常用的 encode/decode ,两者基本没区别
```
objectMapper.writeValueAsString(car);
JSON.toJSONString(car);
objectMapper.readValue(json, Car.class);
JSON.parseObject(jsonString, Car.class);
```

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/855129

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX