5 月 23 日,绿盟科技 CERT 监测到 Fastjson 官方发布公告称在 1.2.80 及以下版本中 存在新的反序列化风险,在特定条件下可绕过默认 autoType 关闭限制,从而反序列化有安 全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。请相关用户尽快采取 防护措施。
Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。由于具 有执行效率高的特点,应用范围广泛。
受影响版本:Fastjson ≤ 1.2.80
不受影响版本:Fastjson = 1.2.8
(1)iMC PLAT 版本<E0705,不涉及;
(2)E0705 ≤iMC PLAT 版本<E0705P06,升级到下述可缓解版本规避,或升级到E0706P12U01补丁解决,该补丁预计2022年6月10日前发布;
(3)E0705P06≤iMC PLAT 版本<E0706,在imc\client\bin\startup.bat(windows)或者imc\client\bin\startup.sh(linux)文件,增加
-Dfastjson.parser.safeMode=true来缓解,在如下位置添加:
添加效果如下,注意前面加英文空格,添加完成后重启jserver进程;
(4)E0706 ≤iMC PLAT 版本,该版本已缓解,可最终升级解决;
(5)U-Center1.0使用平台的fastjson,解决平台问题即可;
(6)EIA V7
portal 涉及,EIA portal组件缓解fastjson方法,进入iMC\portal\bin目录下:
Linux系统下修改startup.sh,如下图如下位置增加红框内容:
Windows系统下修改portalserver.bat,如下图位置增加红框内容:
添加完成后重启portalserver进程,WSM、EPS和EAD等其他V7组件不涉及。
UIS管理平台 版本E0720 涉及到fastjson漏洞吗? 看了一个回答,U-center1.0系列产品,解决平台问题即可? UIS管理平台 版本E0720 是U-center1.0系列产品吗?解决平台问题即可是什么意思?
(0)
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作