# 015_e_Coding安全漏洞说明及补丁方案
低代码开发平台反序列化漏洞说明
- fastJson漏洞,fastjson1.2.80之前的版本,存在反序列化远程执行漏洞,目前e-coding最新发布版本已经升级到1.2.83(无漏洞版本),请现场检查fastjson的对应版本,jar包对应位置bpm-server-boot-5.0.0-SNAPSHOT/BOOT-INF/lib。请现场检查fastjson的对应版本。——请升级该版本到1.2.83.
- xstream漏洞,xstream本身一直存在反序列化漏洞,ecoding产品间接依赖了xstream,但是可以打包期逐出或最终介质里手工删掉,不会影响ecoding引擎功能(因为xstream是eureka引入的,产品可以不需要注册中心client),jar包对应位置:bpm-server-boot-5.0.0-SNAPSHOT/BOOT-INF/lib——请删除该文件。
- log4j漏洞,这个不算严格意义的反序列化漏洞,是远程执行文件的漏洞(CVE-2021-4104),e-coding最新版本依赖的是logback,但之前有不稳定版本中好像依赖过log4j2,请现场检查。(注:非反序列化漏洞,这一条提醒事业部可先不关注)对应位置:bpm-server-boot-5.0.0-SNAPSHOT/BOOT-INF/lib,——如果是log4j1.X请参考解决方案Apache Log4j 1.X 漏洞说明及解决方案;如果是log4j2.x,请参考解决方案Apache Log4j2 远程代码执行漏洞(CVE-2021-44228、CVE-2021-45105)说明及解决方案.
- java.io.outputstream的机制,导致一些三方jar存在了漏洞,这个具体修改方式EOS有(3RD_SECURITY_20220802_C1),可按照这个补丁来修复,ObjectInputStream对象的readObject方法将反序列化数据转换为Java对象,当输入的反序列化的数据可被用户控制时攻击者即可通过构造恶意输入让反序列化产生非预期的对象。——请打补丁3RD_SECURITY_20220802_C1,该补丁在下面链接中下载.
| 注:涉及到需要打的第三方的补丁 | |||||
| 序号 | 小补丁号 | 补丁主题 | 产品版本 | 产品模块 | 备注 |
| 1 | 3RD_SECURITY_20220802_C1 | 解决JDK反序列化漏洞: 修复 ObjectInputStream 反序列化漏洞,使用ObjectInputStream反序列化黑名单,不允许对名单里的类进行反序列化,避免攻击方在黑名单里的类反序列化时发起攻击。 | e_Codeing_LA3 | bpm-server(后端) | 3rd 点击 下载 |