阿里云安全扫描漏洞修复fastjson,jackson,xstream,redis
1.fastjson漏洞
fastjson爆发新的反序列化远程代码执行漏洞,黑客利用漏洞,可绕过autoType限制,直接远程执行任意命令攻击服务器,风险极大。
漏洞详情:https://help.aliyun.com/noticelist/articleid/1060343604.html
https://github.com/alibaba/fastjson/wiki/fastjson_safemode
compile('com.alibaba:fastjson:1.2.83') fastjson升级到1.2.83
2.jackson漏洞
漏洞详情:https://help.aliyun.com/noticelist/articleid/1060035134.html
jackson-databind安全版本
jackson-databind >= 2.9.9.2 可以升级到2.9.9.3
jackson-databind >= 2.10.0 可以升级到 2.10.5.1
jackson-databind >= 2.7.9.6 可以升级到 2.7.9.7
jackson-databind >= 2.8.11.4 可以升级到 2.8.11.6
jackson-databind >= 2.6.7.3 可以升级到 2.6.7.5
compile('com.fasterxml.jackson.core:jackson-databind:2.8.11.6') jackson-databind升级到2.8.11.6
3.xstream漏洞
XStream安全版本
XStream 漏洞 XStream < 1.4.14 远程代码执行高危漏洞(CVE-2020-26217)【版本检测
建议:升级到最新版本 1.4.19
//报错异常:com.thoughtworks.xstream.security.ForbiddenClassException: com.XX.XX.PayNotifyVo
public static Object getXml(String xml, Class tClass) {
XStream xStream = new XStream();
xStream.alias("xml", tClass);
xStream.ignoreUnknownElements();//暂时忽略掉一些新增的字段
//解决方案:关键:需要加上allowTypes属性设置
xStream.allowTypes(new Class[]{tClass});
Object obj = xStream.fromXML(xml);
return obj;
}
compile('com.thoughtworks.xstream:xstream:1.4.19') xstream升级到1.4.19
4.Redis漏洞
漏洞详情:https://help.aliyun.com/noticelist/articleid/1060026197.html
修复建议
一、通过阿里云安全组禁止Redis端口对外或只允许特定安全ip地址访问
二、加固Redis,增加权限控制和密码策略等:https://help.aliyun.com/knowledge_detail/37447.html
链接:
https://blog.csdn.net/xinpz/article/details/113888656
https://xz.aliyun.com/t/8748