Apache Fury序列化框架中换行符导致的校验安全问题解析

Apache Fury作为一款高性能的Java序列化框架，在其0.10.1版本中出现了一个值得注意的安全校验问题。这个问题源于框架内部对安全名单文件的校验机制存在缺陷，具体表现为当开发者在启用类注册要求时，系统会错误地抛出"Disallowed list has been modified"异常。

问题本质

该问题的根本原因在于框架使用文件哈希值校验来确保安全名单文件(fury/disallowlist.txt)的完整性，但哈希计算过程中未考虑不同操作系统换行符的差异。Windows系统使用CRLF(\r\n)作为换行符，而Linux/Unix系统使用LF(\n)，这导致同一文件在不同操作系统环境下会产生不同的哈希值。

技术细节

当Fury设置为requireClassRegistration(true)时，框架会执行以下关键操作：

1. 加载内置的安全名单文件
2. 计算文件内容的哈希值
3. 将计算得到的哈希值与预存的基准值比对
4. 若不一致则抛出安全异常

问题出在第2步的哈希计算环节，由于未对换行符进行标准化处理，跨平台环境下自然会产生不同的哈希结果。

影响范围

该问题影响所有使用0.10.1版本且满足以下条件的场景：

• 启用了类注册要求(requireClassRegistration=true)
• 应用需要跨平台部署(如开发环境用Windows而生产环境用Linux)
• 使用默认安全校验机制

解决方案

Apache Fury团队已通过以下方式修复该问题：

1. 对文件内容进行换行符标准化处理后再计算哈希
2. 更新预存的基准哈希值
3. 该修复已包含在0.10.2及0.11.+版本中

最佳实践建议

对于使用Fury框架的开发者，建议：

1. 及时升级到已修复版本
2. 在跨平台部署场景下特别注意文件校验相关设置
3. 对于关键安全校验，考虑实现平台无关的校验逻辑
4. 测试阶段应覆盖不同操作系统环境

总结

这个案例很好地展示了看似简单的换行符差异可能引发的系统安全问题。作为开发者，在实现文件校验、数据比对等关键功能时，必须考虑跨平台兼容性问题。Apache Fury团队快速响应并修复该问题，也体现了开源社区对安全问题的重视程度。