关于紧急修复Apache Tomcat Fastjson存在文件包含漏洞

最新推荐文章于 2023-11-08 00:13:01 发布
置顶 最新推荐文章于 2023-11-08 00:13:01 发布
阅读量903 收藏
点赞数
分类专栏: 安全漏洞 文章标签: 安全 Fastjson apache tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013758456/article/details/105170658
版权

威胁级别:严重, 受影响的Fastjson版本:Fastjson<1.2.67       

       Fastjson是一个Java语言编写的高性能功能完善的JSON库。Fastjson 存在远程代码执行漏洞,远程攻击者可以通过构造的攻击代码触发远程代码执行漏洞,最终可以获取到服务器的控制权限。

       Fastjson远程代码执行漏洞的关键原因是由于使用com.caucho.config.types.ResourceRef类,绕过了Fastjson1.2.66及以前版本的黑名单而导致。当服务端加载了存在受漏洞影响的resin依赖,并且开启了Fastjson的autotype时,远程攻击者可以通过构造的攻击代码触发远程代码执行漏洞,最终可以获取到服务器的控制权限。

Alibaba发布的最新版本Fastjson1.2.67已经防御此漏洞;只需要下载fastjson-1.2.67.jar包更新即可。

下载地址:https://download.csdn.net/download/u013758456/12278579

 

 

 

 

峰沙同行
关注
专栏目录
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
例如,2017年,Fastjson被发现存在一个名为“Apache Fastjson JSON反序列化远程代码执行”的严重漏洞(CVE-2017-18350)。攻击者可以通过构造恶意的JSON字符串,诱使应用程序反序列化时执行任意代码,从而控制受影响...
Fastjson jar包下载地址
热门推荐
资源分享免费的博客
12-14 2万+
Fastjsonjar包下载地址
2022-10 springboot修复fastjson autoType漏洞
Little Coding Farmer!
10-31 1559
springboot修复fastjson autoType漏洞
fastjson 1.2.24-1.2.67 漏洞分析,附Poc分析
LTianHang的博客
05-28 1218
fastjson 1.2.24版本与1.2.67版本 之间的版本漏洞分析,和已公开的Poc分析,fastjson 1.2.68以上版本的漏洞分析,会开一篇新的文章进行整理
Fastjson历史反序列漏洞分析(1.2.24-1.2.80)
dreamthe的博客
08-10 5962
本文章总结fastjson1.2.24到1.2.80所产生的反序列化漏洞,将其进行分析。希望多大家有帮助。
Fastjson反序列化漏洞复现(实战案例)
qq_50854662的博客
04-18 1915
Fastjson反序列化漏洞复现(实战案例)
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
Fastjson 1.2.47 远程代码执行漏洞详解及修复策略》 Fastjson,一个由阿里巴巴开发的高性能、轻量级的Java语言JSON处理库,因其高效的解析速度和广泛的功能,在国内的互联网行业中被广泛应用。然而,任何优秀的...
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
fastjson1.2.67 2020年最新版.rar
03-28
然而,如同任何软件一样,Fastjson存在安全风险,需要定期更新以修复潜在的漏洞。 2020年,Fastjson发布了1.2.67版本,这是一个重要的安全更新,旨在解决先前版本中的安全问题。这个版本修复了一个高危漏洞,该...
最新版fastjson-1.2.67.jar
03-26
最新版fastjson-1.2.67.jar
fastjson漏洞复现
最新发布
m0_63017769的博客
11-08 399
Fastjson是一个阿里巴巴开源的Java库(项目地址为:https://github.com/alibaba/fastjson),它用于将Java对象转换为JSON表示。它还可以用于将JSON字符串转换为等效的Java对象。Fastjson可以处理任意Java对象,并且它提供了高性能的JSON解析和序列化功能。
Apache Tomcat信息泄露漏洞
m0_46459413的博客
11-02 4224
9月28日,Apache发布安全公告,公开披露了Tomcat中的一个信息泄露漏洞(CVE-2021-43980)。由于某些Tomcat版本中的阻塞式读写的简化实现导致存在并发错误(极难触发),可能使客户端连接共享一个Http11Processor实例,导致响应或部分响应被错误的客户端接收,造成信息泄露。Apache Tomcat 版本 >= 10.1.0-M14。Apache Tomcat 版本 >= 10.0.20。Apache Tomcat 版本 >= 8.5.78。
Fastjson小于1.2.67 UnSerializable RCE分析研究
Fly_鹏程万里
05-08 2395
开篇前言 从2018年2月的第一篇文章开始到现在已经发布了946篇原创文章,时隔2年零2个月,博客粉丝达到了3000人,很是感谢大家的支持以及对笔者博客的喜爱,后续笔者也将用心撰写更加有质量的博客与广大IT领域的人员进行深度交流,为了答谢广大的粉丝,本次奉上一篇最近写的Fastjson反序列化漏洞文章,以此作为致谢~ 影响范围 Fastjson<=1.2.66 漏洞类型 反序列化导...
记一次奇葩的问题排查经历(fastjson Tomcat
开发者导航
06-02 1118
问题背景这个问题奇葩之处在于IDE中没问题,发到Tomcat容器中报错。在测试类中没问题,嵌入业务流程报错。解决问题简单,但是排查问题花了很长时间,一直搞到晚上9点。站长觉得有必要梳理下这个过程,特此发到博客网站,以供大家参考。异常信息:[com.dbsoft.whjd.action.DetectionCommisionSheetAction]java.lang.Cla...
Fastjson介绍
xiaojian1018的专栏
05-05 553
JSON协议使用方便,越来越流行。JSON的处理器有很多,为什么需要再写一个呢?因为我们需要一个性能很好的JSONParser,希望JSONParser的性能有二进制协议一样好,比如和protobuf一样,这可不容易,但确实做到了。有人认为这从原理上就是不可能的,但是计算机实践科学,看实际的结果比原理推导更重要。  这篇文章告诉大家:  * Fastjson究竟有多快  * 为什么Fas
fastjson1.2.48以下版本存在重大漏洞
软件老王
07-12 8970
1. 场景描述 今天接公司通知:阿里的Fastjson,今天爆出了一个反序列化远程代码漏洞,比较严重的一个漏洞。 影响范围: 1.2.48以下的版本(不包括1.2.48)。 2. 解决方案 查看项目fastjson版本,版本号是否小于48,小于的话尽快升级。 2.1 查看项目版本号 版本号1.2.40,需升级 <dependency> <groupId...
fastjson、jackson databind漏洞修复记录
Mr.Niu的博客
02-11 2642
解决方案也是让升级jar包到2.14.0-rc2版本或以上,但是直接升级的时候有问题,springboot中的 spring-boot-starter-web 包中包含了jackson的版本(里面有个 spring-boot-starter-json,这个包里制定了jackson的相关版本),升级springboot版本或者其他方式,都对现有的项目造成了影响。声明:本人所写博客无任何权威性,解决办法是否符合自己的项目,自行判断。项目运行无问题,jar的版本都符合解决方案,然后上线发布……
maven升级漏洞依赖jar
翱翔于知识的天空
12-06 8707
如果只是想打印当前项目的依赖树,最简单的方法就在在该项目(包含pom)的目录下执行maven命令,要注意的点是:1.执行的目录下必须包含pom文件,且多模块的要在父pom所在目录下执行;2.需要在powershell下执行(idea里支持) 如果想打印出来并放到一个文件里,那么可以在项目目录下执行该命令 执行完上述命令后,就可以到对应目录下找到那个文件,里面就是你项目里的所有依赖。 这里简单提供一个解析上面txt的文件并转成xml的代码 2.判断依赖是否有漏洞 上maven仓库上搜索对应的artifac
Fastjson严重漏洞:攻击可致业务瘫痪及修复建议
360-CERT发布了关于此漏洞的报告,编号为B6-2019-090501,建议所有使用fastjson的用户尽快检查并修复此问题。" 快JSON(fastjson)是阿里巴巴开发的一个高效、全面的JSON库,用于Java应用中的JSON序列化和反序列化。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值