/
关于IdP服务器fastjson反序列化漏洞升级说明

关于IdP服务器fastjson反序列化漏洞升级说明

Owned by carsi_pku_team
Last updated: Jun 06, 2022
1 min read

近日Fastjson Develop Team 发现 fastjson 1.2.80及以下版本存在反序列化漏洞新风险。攻击者可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大,请大家关注。

注:本漏洞涉及CARSI项目中使用企业微信、oauth、微校为认证源的IdP V4服务器。采用北京大学插件的学校请升级对应安装包。

升级步骤:

使用carsi用户登录学校IdP服务器,并执行以下命令:

注:第1步请学校根据本校IdP服务器认证源种类进行选择执行。

企业微信认证源IdP服务器:

1. sudo curl -o /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/shib-carsi-wechat-1.0.0.jar https://ds.carsi.edu.cn/4.1inst/v1/qiyeweixin/shib-carsi-wechat-1.0.0.jar

oauth2认证源IdP服务器:

1. sudo curl -o /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/shib-carsi-oauth-1.0.0.jar https://ds.carsi.edu.cn/4.1inst/v1/oauth2/shib-carsi-oauth-1.0.0.jar

微校认证源IdP服务器:

1. sudo curl -o /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/shib-carsi-weixiao-1.0.0.jar https://ds.carsi.edu.cn/4.1inst/v1/weixiao/shib-carsi-weixiao-1.0.0.jar

以下步骤适应于三种认证源IdP服务器:

2. sudo curl -o /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/fastjson-1.2.83.jar https://ds.carsi.edu.cn/4.1inst/v1/fastjson-1.2.83.jar

3. sudo rm -rf /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/fastjson-1.2.73.jar

4. sudo /opt/shibboleth-idp/bin/build.sh

5. sudo systemctl restart jetty

 

Related content

1. eduGAIN SP接入(Joining CARSI for eduGAIN SP)
1. eduGAIN SP接入(Joining CARSI for eduGAIN SP)
CARSI WIKI
Read with this
2、用OAuth 2接口对接
2、用OAuth 2接口对接
CARSI WIKI
More like this
IdP认证对接及属性定义(CAS)(ova第3/6步,手动第3/9步)
IdP认证对接及属性定义(CAS)(ova第3/6步,手动第3/9步)
CARSI WIKI
More like this
IdP4:3. 对接OAuth 2认证系统
IdP4:3. 对接OAuth 2认证系统
CARSI WIKI
More like this
IdP认证对接及属性定义(OAuth2)(ova第3/6步,手动第3/9步)
IdP认证对接及属性定义(OAuth2)(ova第3/6步,手动第3/9步)
CARSI WIKI
More like this
IdP512: 3. 用OAuth 2接口对接
IdP512: 3. 用OAuth 2接口对接
CARSI WIKI
More like this

版权所有©北京大学计算中心