6
您好,1.2.67版本增强了部分autoType安全黑名单,但发现仍有一些Gadgets还没有加入黑名单:shiro-core(org.apache.shiro.jndi.JndiObjectFactory)、ignite-jta(org.apache.ignite.cache.jta.jndi.CacheJndiTmLookup)、shaded hikari-config
Q
[alibaba/fastjson]1.2.67版本增强autoType安全黑名单
A
回答
5
org.apache.cxf.jaxrs.utils.schemas.SchemaHandler org.apache.cxf.jaxrs.model.wadl.WadlGenerator org.apache.commons.jelly.impl.Embedded javax.swing.JEditorPane虽然是ssrf,也可以加入黑名单 @wenshao
6
无穷无尽啊~~~ 不是办法啊~
2
强烈建议去除autotype功能 该功能通过扩展包提供 这样绝大部分用户都无需每次升级 https://github.com/alibaba/fastjson/issues/2759#issuecomment-533766639 安全来看黑名单策略只是死路 只有白名单才能万古长存
zhaoyan notifications@github.com 于2020年3月23日周一 下午8:54写道:
无穷无尽啊~~~ 不是办法啊~
— You are receiving this because you are subscribed to this thread. Reply to this email directly, view it on GitHub https://github.com/alibaba/fastjson/issues/3074#issuecomment-602571380, or unsubscribe https://github.com/notifications/unsubscribe-auth/AAV7RV33L4ATDB6FMICYO2DRI5LWXANCNFSM4LQRK4NQ .
4
@qixiaobo 不如设计成这样:autoTpe功能,必须配白名单,如果发现没有配,fastjson直接不能使用autoType功能。也就是说白名单是autoType的开关。
8
@qixiaobo 不如设计成这样:autoTpe功能,必须配白名单,如果发现没有配,fastjson直接不能使用autoType功能。也就是说白名单是autoType的开关。
作为研发 很负责任的说大家只会偷懒的~白名单配很容易啊 不过终究是危险的 所谓的白名单是个类名 为什么可以认为这个版本的是好的 到下个版本还是OK的呢???
3
@qixiaobo 不如设计成这样:autoTpe功能,必须配白名单,如果发现没有配,fastjson直接不能使用autoType功能。也就是说白名单是autoType的开关。
作为研发 很负责任的说大家只会偷懒的~白名单配很容易啊 不过终究是危险的 所谓的白名单是个类名 为什么可以认为这个版本的是好的 到下个版本还是OK的呢???
没错,0信任机制
8
https://github.com/alibaba/fastjson/releases/tag/1.2.68 问题已修复,请用新版本。新版本增加了一个safeMode,配置后无论黑名单或者白名单都不支持autoType