加载中…Eclipse下Maven项目更新依赖的jar包
(2020-03-30 13:00:00)
标签:
eclipsemavenfastjson |
分类: Java |
一、漏洞简介
近日, github 公开了 fastjson 存在反序列化远程代码执行漏洞,利用该漏洞的攻击可构造恶意代码实施远程攻击,获取服务器的控制权限。
com.alibaba
fastjson
1.2.68
近日, github 公开了 fastjson 存在反序列化远程代码执行漏洞,利用该漏洞的攻击可构造恶意代码实施远程攻击,获取服务器的控制权限
二、漏洞影响
Fastjson<=1.2.67 的所有版本。
三、应对措施
1.升级 WAF 规则库,对该漏洞进行防护。
2.关闭 autoType(1.2.25 版本开始默认关闭 autoType),另外建议将 JDK 升
级到最新版本。
其中, autoType 关闭方法如下:
(1)在项目源码中全文搜索如下代码,将此行代码删除。
ParserConfig.getGlobalInstance().setAutoTypeSupport(true)
( 2)在 JVM 中启动项目时,切勿添加以下参数。
-Dfastjson.parser.autoTypeSupport=true
关闭 autoType 后,对于需要使用“@type”能力的场景,采用添加 autoType
白名单的方式将目标类设为可用。
3.漏洞补丁链接参考如下:
https://github.com/alibaba/fastjson/releases/tag/1.2.67?spm=a2c4g
.11174464.0.0.37a91051jHxEPQ&file=1.2.67
https://repo1.maven.org/maven2/com/alibaba/fastjson/
Fastjson<=1.2.67 的所有版本。
三、应对措施
1.升级 WAF 规则库,对该漏洞进行防护。
2.关闭 autoType(1.2.25 版本开始默认关闭 autoType),另外建议将 JDK 升
级到最新版本。
其中, autoType 关闭方法如下:
(1)在项目源码中全文搜索如下代码,将此行代码删除。
ParserConfig.getGlobalInstance().setAutoTypeSupport(true)
( 2)在 JVM 中启动项目时,切勿添加以下参数。
-Dfastjson.parser.autoTypeSupport=true
关闭 autoType 后,对于需要使用“@type”能力的场景,采用添加 autoType
白名单的方式将目标类设为可用。
3.漏洞补丁链接参考如下:
https://github.com/alibaba/fastjson/releases/tag/1.2.67?spm=a2c4g
.11174464.0.0.37a91051jHxEPQ&file=1.2.67
https://repo1.maven.org/maven2/com/alibaba/fastjson/
刚好我所负责的项目使用Fastjson的版本情况是:1.2.25<使用中的版本<1.2.67
,所以只要更新jar即可。
Eclipse下Maven项目更新依赖的jar包具体步骤:
1.修改项目pom.xml中关于Fastjson的配置:
2.右键工程名,选择maven,->update
project,能自动更新依赖jar包。完成后会发现本地仓库已经更新了指定的1.2.68版本。
ps:若发现Maven Dependencies并没有自动更新该jar包。勾选project下的Build Automatically!!!
喜欢
0
赠金笔