关于IdP服务器fastjson反序列化漏洞升级说明

近日Fastjson Develop Team 发现 fastjson 1.2.80及以下版本存在反序列化漏洞新风险。攻击者可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大,请大家关注。

注:本漏洞涉及CARSI项目中使用企业微信、oauth、微校为认证源的IdP V4服务器。采用北京大学插件的学校请升级对应安装包。

升级步骤:

使用carsi用户登录学校IdP服务器,并执行以下命令:

注:第1步请学校根据本校IdP服务器认证源种类进行选择执行。

企业微信认证源IdP服务器:

1. sudo curl -o /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/shib-carsi-wechat-1.0.0.jar https://ds.carsi.edu.cn/4.1inst/v1/qiyeweixin/shib-carsi-wechat-1.0.0.jar

oauth2认证源IdP服务器:

1. sudo curl -o /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/shib-carsi-oauth-1.0.0.jar https://ds.carsi.edu.cn/4.1inst/v1/oauth2/shib-carsi-oauth-1.0.0.jar

微校认证源IdP服务器:

1. sudo curl -o /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/shib-carsi-weixiao-1.0.0.jar https://ds.carsi.edu.cn/4.1inst/v1/weixiao/shib-carsi-weixiao-1.0.0.jar

以下步骤适应于三种认证源IdP服务器:

2. sudo curl -o /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/fastjson-1.2.83.jar https://ds.carsi.edu.cn/4.1inst/v1/fastjson-1.2.83.jar

3. sudo rm -rf /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/fastjson-1.2.73.jar

4. sudo /opt/shibboleth-idp/bin/build.sh

5. sudo systemctl restart jetty