iMC&U-Center1.0是否涉及Fastjson 反序列化远程代码执行漏洞

5 月 23 日，绿盟科技 CERT 监测到 Fastjson 官方发布公告称在 1.2.80 及以下版本中 存在新的反序列化风险，在特定条件下可绕过默认 autoType 关闭限制，从而反序列化有安 全风险的类，攻击者利用该漏洞可实现在目标机器上的远程代码执行。请相关用户尽快采取 防护措施。

Fastjson 是阿里巴巴的开源 JSON 解析库，它可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到 JavaBean。由于具 有执行效率高的特点，应用范围广泛。

受影响版本：Fastjson ≤ 1.2.80

不受影响版本：Fastjson = 1.2.8

（1）iMC PLAT 版本<E0705，不涉及；
（2）E0705 ≤iMC PLAT 版本＜E0705P06，升级到下述可缓解版本规避，或升级到E0706P12U01补丁解决，该补丁预计2022年6月10日前发布；
（3）E0705P06≤iMC PLAT 版本＜E0706，在imc\client\bin\startup.bat(windows)或者imc\client\bin\startup.sh(linux)文件，增加
-Dfastjson.parser.safeMode=true来缓解，在如下位置添加：

添加效果如下，注意前面加英文空格，添加完成后重启jserver进程；

（4）E0706 ≤iMC PLAT 版本，该版本已缓解，可最终升级解决；
（5）U-Center1.0使用平台的fastjson，解决平台问题即可；
（6）EIA V7  portal  涉及，EIA portal组件缓解fastjson方法，进入iMC\portal\bin目录下：

Linux系统下修改startup.sh，如下图如下位置增加红框内容：

Windows系统下修改portalserver.bat，如下图位置增加红框内容：

添加完成后重启portalserver进程，WSM、EPS和EAD等其他V7组件不涉及。