安全公告–关于Fastjson 反序列化远程代码执行漏洞处置说明

一、漏洞概述

fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险,在特定条件下可绕过默认autoType关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。

我司涉及的产品/功能如下:i2DTO,i2Stream,i2BigData, Hadoop的备份和恢复。

二、漏洞等级

漏洞等级:【严重】

三、漏洞影响范围

影响版本:目前已发布的所有版本

四、漏洞处置

  1. i2DTO (受影响的版本:i2DTO 7.1.72 ≤ 7.1.72.21090919;i2DTO 7.1.74≤7.1.74.22042122)
    ●  后续版本已升级依赖包。
    ●  历史版本临时处理方法:
    修改/usr/local/i2dto/dto/start-synchost.sh文件中增加参数,重启服务。
    ../jdk/bin/java -Xms128m -Xmx8192m -Dfastjson.parser.safeMode=true -Djava.library.path=lib com.i2.dto.sync.SyncMain
  2. i2Stream (受影响版本:截止于2022/5/26之前发布的全部版本)
    ●  后续版本升级依赖包。
    ●  历史版本临时处理方法:
    启动脚本,添加 -Dfastjson.parser.safeMode=true
  3. i2BigData, Hadoop的备份和恢复 (受影响版本:i2UP7.1.72 ≤7.1.72.22011718;i2UP 7.1.74 ≤7.1.74.22042122)
    ●  后续版本已升级依赖包。
    ●  历史版本临时处理方法:
    修改i2bb.sh将 nohup java -Xmx3550m -Xms3550m -cp ${APP_NAME} com.i2.i2bb.node.nio.I2BBNIOServer /usr/local/i2bb/i2bb.conf 1>/dev/null 2>/usr/local/i2bb/error.log &
    修改为
    nohup java -Xmx3550m -Xms3550m -Dfastjson.parser.safeMode=true -cp ${APP_NAME} com.i2.i2bb.node.nio.I2BBNIOServer /usr/local/i2bb/i2bb.conf 1>/dev/null 2>/usr/local/i2bb/error.log &
    修改hjob.sh,
    将 export HADOOP_CLIENT_OPTS=”-Djava.io.tmpdir=${TMP_PATH}”
    修改为
    export HADOOP_CLIENT_OPTS=”-Dfastjson.parser.safeMode=true -Djava.io.tmpdir=${TMP_PATH}”

注:如有疑问,请及时联系英方技术支持或者拨打400 0078 655 转2 获得帮助
英方会发布并持续更新安全通告:安全公告 – 英方发布 (info2soft.com)