【漏洞公告】Fastjson远程代码执行漏洞

最新推荐文章于 2024-08-15 15:00:41 发布
最新推荐文章于 2024-08-15 15:00:41 发布
阅读量2.1k 收藏
点赞数 1
文章标签: java 嵌入式 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luanxiyuan/article/details/84877349
版权

2017年3月15日,Fastjson 官方发布安全公告,该公告介绍fastjson在1.2.24以及之前版本存在代码执行漏洞代码执行漏洞,恶意攻击者可利用此漏洞进行远程代码执行,从而进一步入侵服务器,目前官方已经发布了最新版本,最新版本已经成功修复该漏洞。

具体漏洞详情如下:

漏洞编号:

暂无

漏洞名称:

Fastjson远程代码执行漏洞

官方评级:

高危

漏洞描述:

fastjson在1.2.24以及之前版本存在代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程任意代码执行漏洞。

漏洞利用条件和方式:

黑客可以远程代码执行成功利用该漏洞。

漏洞影响范围:

1.2.24及之前版本

漏洞检测确认:

  1. 检查fastjson 版本是否在1.2.24版本内
  2. lsof | grep fastjson

漏洞修复建议(或缓解措施):

目前官方已经发布了最新版本,该版本已经成功修复该漏洞。

阿里云上用户建议采用以下两种方式将fastjson升级到1.2.28或者更新版本:

更新方法如下:

  • 1.Maven 依赖配置更新

通过 maven 配置更新,使用最新版本,如下:

  1. <dependency>
  2. <groupId>com.alibaba</groupId>
  3. <artifactId>fastjson</artifactId>
  4. <version>1.2.28</version>
  5. </dependency>
  • 2.最新版本下载

下载地址:http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/

  • 3.云盾WAF防护

如果您无法及时升级fastjson,您可以选用阿里云云盾WAF自动防护。

情报来源:

luanxiyuan
关注
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
Fastjson 1.2.47 远程代码执行漏洞详解及修复策略》 Fastjson,一个由阿里巴巴开发的高性能、轻量级的Java语言JSON处理库,因其高效的解析速度和广泛的功能,在国内的互联网行业中被广泛应用。然而,任何优秀的...
fastjson复现
qq_42133828的博客
07-13 1898
fastjson2017-0315远程代码执行漏洞复现 漏洞名称: fastjson远程命令执行漏洞 漏洞类型: 远程代码执行漏洞 漏洞危害: 高危 漏洞来源: https://github.com/alibaba/fastjson/wiki/security_update_20170315 公布时间: 2017-03-15 涉及应用版本: fastjson小于1.2.24的所有版本 poc适用于...
Fastjson反序列化漏洞
yyj1781572的博客
04-13 2035
Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
fastjson反序列化漏洞
最新发布
qq_73792226的博客
08-15 638
Fastjson是阿里巴巴公司开源的一款高性能的Java语言JSON处理库,广泛应用于Web开发、数据交换等领域。然而,由于Fastjson在解析JSON数据时存在安全漏洞,攻击者可以利用该漏洞执行任意代码,导致严重的安全威胁。Fastjson反序列化漏洞是一个严重的安全问题,需要引起足够的重视。开发者应该及时关注安全公告,升级Fastjson版本,并加强输入验证和安全管理。同时,用户也应关注系统安全,定期进行安全审计和监控,以确保系统的安全性。
fastjson远程代码执行漏洞
网安君的博客
03-29 5721
Fastjson 1.2.24 远程代码执行漏洞 漏洞说明 FastJson库是Java的一个Json库,其作用是将Java对象转换成json数据来表示,也可以将json数据转换成Java对象。在2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 前提条件 开启autotype 影响范围 fastjson 1.2.22-1.2.24 jdk 1.7,1.8版本 漏洞复现 由于Fastj
Fastjson反序列化远程代码执行漏洞
m0_56033865的博客
06-15 4991
据国家网络与信息安全信息通报中心监测发现,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。先贴一个解决漏洞的方案: 不过任何升级一定会伴随或大或小的bug,一定要对业务的影响做评估。下面对漏洞原理进行介绍: fastjson 是阿里巴巴开发的 java语言编写的高性能 JSON 库,用于将数据在 Json 和 Java Object之间相互转换。它没有用java的序列化机制,而是自
fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)
qq_51163834的博客
06-24 839
fastjsonjava的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象。
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列化和反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
首先,我们要理解什么是远程代码执行漏洞。在计算机安全领域,RCE漏洞允许攻击者在没有权限的情况下,在目标系统上执行任意代码。这种漏洞往往具有极高的危险性,因为它可能导致数据泄露、系统瘫痪甚至完全控制目标...
Fastjson反序列化漏洞复现小结
GhostdomY的博客
10-26 2300
fastjson漏洞复现
Fastjson漏洞详情
GyaoG的专栏
05-30 5620
一、fastjson漏洞详情 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,是目前Java语言中最快的JSON库。由于Fastjson其优越的性能,被广泛使用在缓存序列化、协议交互等多种应用场景。然而在2022年5月23日,fastjson 官方发布安全通报,fastjson <= 1.2.80 存在反序列化任意代码执行漏洞,在特定条件下可绕过默认aut...
关于Fastjson反序列化远程代码执行漏洞处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
05-25 1万+
一、风险描述 集团公司近期通知,根据相关安全纰漏,对Fastjson反序列化远程代码执行漏洞提出预警,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响,特要求限期排查整改。 Fastjson是开源JSON解析库,fastjson.jar是阿里开发的一款专门用于Java开发的包,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序
fastjson反序列化漏洞_fastjson 反序列化远程代码执行漏洞 紧急通告
weixin_39862484的博客
11-30 432
点击蓝字关注我们漏洞信息漏洞名称:fastjson 反序列化远程代码执行漏洞发布日期:2020.06.03威胁类型:远程代码执行危险等级:高危受影响的版本:fastjson <=1.2.68fastjson sec 版本 <= sec9android 版本不受此漏洞影响漏洞描述fastjson 采用黑白名单的方法来防御反序列化漏洞,导致当攻击者不断发掘新的反序列化 Ga...
fastjson远程代码执行漏洞问题分析
lucasma的博客
03-01 5263
背景 fastjson远程代码执行安全漏洞(以下简称RCE漏洞),最早是官方在2017年3月份发出的声明, security_update_20170315 没错,强如阿里这样的公司也会有漏洞代码是人写的,有漏洞是难免的。关键是及时的修复。 声明中,官方指出: 最近发现fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞,为了保证系统安全,请升级到1.2.28/1.2.29...
漏洞通告】fastjson 1.2.62远程代码执行漏洞通告
Ethanxumf的博客
02-21 2551
漏洞通告】fastjson<=1.2.62远程代码执行漏洞通告 原创 绿盟安全服务部 绿盟科技安全情报 今天 通告编号:NS-2020-0011 2020-02-21 TAG: fastjson、Jackson-databind、远程代码执行 危害等级: 高,攻击者利用此漏洞,可造成远程代码执行。 应急等级: 蓝色 版本: 1.0 漏洞概述 2月19日,NVD发...
Fastjson存在远程代码执行高危安全漏洞
安全学习之路
03-17 5801
Fastjson安全漏洞通告
fastjson 1.2.68 反序列化远程代码执行漏洞
热门推荐
煜铭2011
06-01 1万+
0x00背景 fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击。 0x01影响范围 fastjson < 1.2.69 fastjson sec 版本 < sec10 0x02漏洞修复 1、升级至安全...
fastjson< 1.2.69远程代码执行漏洞cve编号
01-04
fastjson< 1.2.69远程代码执行漏洞的CVE编号是CVE-2021-21351。该漏洞源于fastjson在处理JSON数据时存在安全漏洞,攻击者可以通过精心构造的JSON数据来实现远程代码执行,从而对系统进行攻击。 漏洞的产生主要是由于fastjson在处理反序列化时存在漏洞,攻击者可以通过构造恶意的JSON数据来触发fastjson的反序列化过程,最终实现执行恶意代码的目的。由于fastjson是非常常见的JSON解析库,因此该漏洞可能影响许多使用fastjson的应用程序。 为了防范这一漏洞,建议及时更新fastjson至最新版本,并且在使用fastjson解析JSON数据时,对输入的数据进行严格的验证和过滤,避免恶意JSON数据的注入。此外,也应加强系统安全意识教育,及时关注官方的安全公告,并且注意其他安全防护措施,以保护系统免受漏洞的攻击。 总之,CVE-2021-21351是一个比较严重的远程代码执行漏洞,对系统的安全性造成了潜在威胁。我们应该保持警惕,及时采取相应的安全防护措施,以确保系统的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值