Redisson反序列化漏洞分析与修复方案

问题背景

Redisson作为一款基于Netty框架的Java Redis客户端，在处理Redis服务器返回数据时存在反序列化安全问题。当客户端配置使用Kryo5Codec作为反序列化解码器时，不可信服务器可以构造特殊的序列化对象，在客户端反序列化过程中触发远程代码执行问题。

问题原理

该问题属于典型的反序列化安全风险，攻击者利用Kryo5Codec默认配置下不安全的反序列化机制，通过构造特殊的序列化对象链，最终实现任意代码执行。具体攻击路径如下：

1. 攻击者搭建不可信Redis服务器
2. 客户端配置使用Kryo5Codec连接该服务器
3. 服务器返回精心构造的特殊序列化数据
4. 客户端反序列化时触发问题执行攻击代码

问题验证

在验证环境中，攻击者可以利用rome工具包中的ToStringBean和EqualsBean类构造攻击链。这两个类在反序列化时会调用对象的toString()和equals()方法，结合javax.naming相关类，可以构造出JNDI注入攻击。

关键攻击代码如下：

// 构造特殊对象链
Object o = getCCT();  // 获取JNDI注入对象
ToStringBean toStringBean = new ToStringBean(DirContext.class, o);
EqualsBean equalsBean = new EqualsBean(toStringBean.getClass(), toStringBean);
return makeMap(equalsBean, equalsBean);  // 封装为HashMap

当Redisson客户端使用默认配置的Kryo5Codec反序列化这个特殊HashMap时，会触发JNDI查找，导致远程代码执行。

影响范围

该问题影响所有使用Kryo5Codec作为默认解码器的Redisson客户端，攻击者可利用此问题在目标系统上执行任意命令，风险极大。

修复方案

Redisson官方已发布修复方案，主要措施包括：

1. 在Kryo5Codec构造函数中增加安全检查参数
2. 默认启用安全模式，限制反序列化类

修复后的安全使用方式：

// 安全配置示例
config.setCodec(new Kryo5Codec(true));  // 启用安全检查

安全建议

1. 立即升级到修复版本
2. 如必须使用Kryo5Codec，务必启用安全检查模式
3. 避免连接不可信的Redis服务器
4. 考虑使用其他更安全的解码器替代方案

总结

反序列化问题一直是Java应用安全的重要风险之一。Redisson此次问题再次提醒开发者，在使用序列化/反序列化功能时必须谨慎配置安全参数。对于关键业务系统，建议进行全面的安全审计，确保所有外部数据输入都经过严格验证。