一、漏洞概述
fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险,在特定条件下可绕过默认autoType关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。
我司涉及的产品/功能如下:i2DTO,i2Stream,i2BigData, Hadoop的备份和恢复。
二、漏洞等级
漏洞等级:【严重】
三、漏洞影响范围
影响版本:目前已发布的所有版本
四、漏洞处置
- i2DTO (受影响的版本:i2DTO 7.1.72 ≤ 7.1.72.21090919;i2DTO 7.1.74≤7.1.74.22042122)
● 后续版本已升级依赖包。
● 历史版本临时处理方法:
修改/usr/local/i2dto/dto/start-synchost.sh文件中增加参数,重启服务。
../jdk/bin/java -Xms128m -Xmx8192m -Dfastjson.parser.safeMode=true -Djava.library.path=lib com.i2.dto.sync.SyncMain - i2Stream (受影响版本:截止于2022/5/26之前发布的全部版本)
● 后续版本升级依赖包。
● 历史版本临时处理方法:
启动脚本,添加 -Dfastjson.parser.safeMode=true - i2BigData, Hadoop的备份和恢复 (受影响版本:i2UP7.1.72 ≤7.1.72.22011718;i2UP 7.1.74 ≤7.1.74.22042122)
● 后续版本已升级依赖包。
● 历史版本临时处理方法:
修改i2bb.sh将 nohup java -Xmx3550m -Xms3550m -cp ${APP_NAME} com.i2.i2bb.node.nio.I2BBNIOServer /usr/local/i2bb/i2bb.conf 1>/dev/null 2>/usr/local/i2bb/error.log &
修改为
nohup java -Xmx3550m -Xms3550m -Dfastjson.parser.safeMode=true -cp ${APP_NAME} com.i2.i2bb.node.nio.I2BBNIOServer /usr/local/i2bb/i2bb.conf 1>/dev/null 2>/usr/local/i2bb/error.log &
修改hjob.sh,
将 export HADOOP_CLIENT_OPTS=”-Djava.io.tmpdir=${TMP_PATH}”
修改为
export HADOOP_CLIENT_OPTS=”-Dfastjson.parser.safeMode=true -Djava.io.tmpdir=${TMP_PATH}”
注:如有疑问,请及时联系英方技术支持或者拨打400 0078 655 转2 获得帮助
英方会发布并持续更新安全通告:安全公告 – 英方发布 (info2soft.com)