【漏洞公告】Fastjson远程代码执行漏洞

2017年3月15日,Fastjson 官方发布安全公告,该公告介绍fastjson在1.2.24以及之前版本存在代码执行漏洞代码执行漏洞,恶意攻击者可利用此漏洞进行远程代码执行,从而进一步入侵服务器,目前官方已经发布了最新版本,最新版本已经成功修复该漏洞。

具体漏洞详情如下:


漏洞编号:

暂无

漏洞名称:

Fastjson远程代码执行漏洞

官方评级:

高危

漏洞描述:

fastjson在1.2.24以及之前版本存在代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程任意代码执行漏洞。

漏洞利用条件和方式:

黑客可以远程代码执行成功利用该漏洞。

漏洞影响范围:

1.2.24及之前版本

漏洞检测确认:

  1. 检查fastjson 版本是否在1.2.24版本内
  2. lsof | grep fastjson

漏洞修复建议(或缓解措施):

目前官方已经发布了最新版本,该版本已经成功修复该漏洞。

阿里云上用户建议采用以下两种方式将fastjson升级到1.2.28或者更新版本:

更新方法如下:

  • 1.Maven 依赖配置更新

通过 maven 配置更新,使用最新版本,如下:

  1. <dependency>
  2. <groupId>com.alibaba</groupId>
  3. <artifactId>fastjson</artifactId>
  4. <version>1.2.28</version>
  5. </dependency>
  • 2.最新版本下载

下载地址:http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/

  • 3.云盾WAF防护

如果您无法及时升级fastjson,您可以选用阿里云云盾WAF自动防护。

情报来源:

  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值