A8/A6 V7.1sp1_fastjson≤1.2.80 漏洞排查方法: 相关用户可使用以下命令检测当前使用的Fastjson版本: 问题描述:fastjson≤1.2.80 漏洞排查方法: 相关用户可使用以下命令检测当前使用的Fastjson版本: lsof |grep fastjson 注:在Fastjson 1.2.68及之后的版本中,官方添加了SafeMode功能,可完全禁用autoType。 修复建议: 1、升级到最新版本1.2.83 https://github.com/alibaba/fastjson/releases/tag/1.2.83 该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,如遇遇到问题可以到 https://github.com/alibaba/fastjson/issues寻求帮助。 2、fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。 开启方法可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode。 1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有兼容问题,请充分评估对业务影响后开启。 3、可升级到fastjson v2, Fastjson已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。 https://github.com/alibaba/fastjson2/releases产品版本:适用于:A8/A6 V7.1sp1版本 适用产品线:数据库版本: 问题原因:游客无权查看 问题解决方式:游客无权查看 问题属性:游客无权查看 一级分类:二级分类: 有用 没用78 浏览 分类 U8知识库用友U8知识库(旧)畅捷通知识库用友NC知识库用友U9知识库用友政务知识库致远OA知识库U8Cloud知识库