fastjson 1.28版本以下漏洞修复

最新推荐文章于 2024-02-24 21:37:45 发布
最新推荐文章于 2024-02-24 21:37:45 发布
阅读量1.2k 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/enthan809882/article/details/106671008
版权

场景

fastjson <=1.2.68 版本有漏洞。 服务器上所有低于此版本的需升级为安全版本。

升级到最新版本1.2.69或者更新的1.2.70版本。

过程

查找文件名包含fastjson的文件

find / -name fastjson* ; #

查找结果为 fastjson-1.2.7 ,ok,我们的版本是正确的。然而真的是这样嘛?
结果被打脸了。 注意1.2.7和1.2.70是完全不一样的版本。一开始真的以为一样呢,后来去maven官网下载jar包,看到版本列表才发现原来1.2.7是很早的版本了。

查找内容包含fastjson的文件

grep -r -H fastjson *; # -r 递归查找文件夹,-H 显示内容所在文件名

替换方式

maven项目

修改pom.xml之后,重新打包,发到服务器。

有的项目只有jar包,没有源码

替换jar包,重启。

阿里安全公告20200601 github地址

https://github.com/alibaba/fastjson/wiki/security_update_20200601

chushiyunen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
版本fastjson-1.2.71解决安全漏洞.rar
04-14
版本fastjson-1.2.71解决安全漏洞
FastJson 漏洞复现
来日可期的博客
09-11 1638
FastJson 1.2.24 反序列化导致任意命令执行漏洞Fastjson 1.2.47 远程命令执行漏洞
Fastjson反序列化漏洞原理与复现
FisrtBqy的博客
05-15 2647
Ffasjson反序列化漏洞原理与复现
Fastjson【RCE1.2.47】漏洞复现
02-24 666
Fastjson漏洞原理和RCE1.2.47漏洞复现
fastjson2.x 记录】那些从1.x升级到2.x踩过的坑
02-12 6931
记录 fastjson 从 1.x 版本升级到 2.x 版本后出现的问题和解决方法,方便自己和大家查询。
spring boot2 整合(一续)Druid数据库连接池和FastJson
weixin_33743880的博客
03-16 56
本项目教程环境建立在spring boot2 整合(一)Mybatis (特别完整!) 的基础上。 1. Druid配置 1.1 修改pom.xml <!-- alibaba的druid数据库连接池 --> <dependency> ...
FastJson远程命令执行漏洞学习笔记
m0_73257876的博客
09-04 632
fastjson漏洞其实就是fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类中连接远程主机,通过其中的恶意类执行代码。笔记只做学习记录分享。如有错误,请大家批评指正!
fastjson 1.2.74版本发布,fastjson反序列化漏洞升级
bufegar0的博客
10-14 6666
更新说明 fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 但在安全方面fastjson总是被曝出存在反序列化安全漏洞,会造成会服务器的攻击,风险极大。 影响版本 fastjson <=1.2.68 fastjson sec版本 <= sec9 android版本不受此漏洞影响 解决办法 升级至最新版本1.2.74 1.2.74更新说明 Issues 修复序列化时B
关于Fastjson反序列化远程代码执行漏洞处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
05-25 1万+
一、风险描述 集团公司近期通知,根据相关安全纰漏,对Fastjson反序列化远程代码执行漏洞提出预警,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响,特要求限期排查整改。 Fastjson是开源JSON解析库,fastjson.jar是阿里开发的一款专门用于Java开发的包,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
fastjson版本低于1.2.47出现的远程代码漏洞解决方案。
fastjson版本jar包以及使用方法
07-19
https://blog.csdn.net/hykwhjc/article/details/81121224 fastJSON的使用
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击
fastjson 各个 版本 jar
03-25
fastjson-1.1.35.jar ,fastjson-1.1.36.jar ,fastjson-1.1.37.jar ,fastjson-1.1.44.jar ,fastjson-1.2.3.jar,fastjson-1.2.4.jar
fastjson爆出重大漏洞,攻击者可使整个业务瘫痪
01-07
2019年9月5日,360CERT监测到2019年9月3日fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\x转义字符时可能引发OOM的问题的修复。 360CERT 判断该漏洞危害中。影响面较...
“write javaBean error, fastjson version 1.2.83, class org.apache.shiro.web.servlet.ShiroHttpServletR
weixin_48568302的博客
01-16 9123
fastjson1.2.83序列化异常
fastjson反序列化漏洞区分版本号的方法总结
yggcwhat
07-16 2500
fastjson反序列化漏洞区分版本号的方法总结
fastJson≤1.2.80漏洞修复
Champion-Dai
06-15 3396
Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType关闭限制,从而反序列化有安全风险的类,在特定条件下这可能导致远程代码执行。高危、任意命令执行。Fastjson ≤1.2.80以下三种修复方案根据业务选择任一合适方案即可:方案一、建议升级到最新版本1.2.83。参考链接:https://github.com/alibaba/fastjson/releases/tag/1.2.83方案二、safeMode加固:Fastjson在1.2.6
麻了!Fastjson 再曝反序列化漏洞。。
良月柒
05-30 263
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 2.8 分钟。来源:© Alibaba Fastjson Develop Teamgithub.com/alibaba/fastjson/wiki/security_update_20220523近日 Fastjson Develop Team 发现 fastjson 1.2.80及以下存在新的风险,请...
Python课程设计 课设 手写数字识别卷积神经网络源码+文档说明.zip
最新发布
04-24
高分设计源码,详情请查看资源内容中使用说明 高分设计源码,详情请查看资源内容中使用说明高分设计源码,详情请查看资源内容中使用说明高分设计源码,详情请查看资源内容中使用说明高分设计源码,详情请查看资源内容中使用说明高分设计源码,详情请查看资源内容中使用说明高分设计源码,详情请查看资源内容中使用说明高分设计源码,详情请查看资源内容中使用说明高分设计源码,详情请查看资源内容中使用说明高分设计源码,详情请查看资源内容中使用说明高分设计源码,详情请查看资源内容中使用说明高分设计源码,详情请查看资源内容中使用说明高分设计源码,详情请查看资源内容中使用说明高分设计源码,详情请查看资源内容中使用说明高分设计源码,详情请查看资源内容中使用说明高分设计源码,详情请查看资源内容中使用说明高分设计源码,详情请查看资源内容中使用说明高分设计源码,详情请查看资源内容中使用说明高分设计源码,详情请查看资源内容中使用说明高分设计源码,详情请查看资源内容中使用说明高分设计源码,详情请查看资源内容中使用说明高分设计源码,详情请查看资源内容中使用说明
fastjson反序列化漏洞修复方法
12-27
Fastjson反序列化漏洞修复方法主要包括以下几个方面: 1. 更新Fastjson版本:及时更新Fastjson版本可以修复已知的漏洞,并且新版本通常会增加更多的安全性措施。 2. 配置白名单:通过配置白名单,限制Fastjson反序列化时可以处理的类和属性,只允许特定的类和属性进行反序列化操作,从而减少潜在的安全风险。 3. 使用AutoType特性:Fastjson提供了AutoType特性,可以在反序列化时自动检测类的类型信息,从而减少恶意代码的执行。可以通过设置AutoType的白名单,只允许特定的类进行反序列化操作。 4. 自定义反序列化过程:对于一些敏感的类和属性,可以自定义反序列化过程,使用安全的方式进行处理,避免恶意代码的执行。 5. 安全审计和代码检查:定期进行安全审计和代码检查,及时发现和修复潜在的安全漏洞,确保系统的安全性。 需要注意的是,Fastjson反序列化漏洞修复方法可能因具体的漏洞类型和系统环境而有所不同,建议根据具体情况采取相应的修复措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值