fastjson最新版本_Fastjson 新版本发布即爆出严重漏洞,华为云WAF可提供防护

最新推荐文章于 2024-04-05 12:44:03 发布
最新推荐文章于 2024-04-05 12:44:03 发布
阅读量1.7k 收藏
点赞数
文章标签: fastjson最新版本 fastjson版本 shiro最新版本

bbf6dfee12766788490a51e2d0f39a5c.gif

华为云安全团队监测到,虽然Fastjson 1.2.67版本在3月22日刚刚发布,增强了部分autoType安全黑名单,但仍有部分Gadgets相关类(shiro-core、ignite-jta 、aries.transaction.jms、caucho-quercus)未加入到黑名单中,这些Gadgets可造成Fastjson的反序列化漏洞。

攻击者利用特定的请求可以触发远程代码执行,攻击成功可获得服务器的控制权限。

目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。

影响的版本范围

Fastjson<=1.2.67的所有版本。

防护方案

官方修复版本尚未发布,建议通过以下方式进行规避:

1、华为云WAF已紧急更新了默认规则库,可对该漏洞进行防护,只需将Web基础防护的状态设置为“拦截”模式。

2、关闭autoType(1.2.25版本开始默认关闭autoType),另外建议将JDK升级到最新版本。autoType关闭方法如下:

方法一

在项目源码中全文搜索如下代码,将此行代码删除:

ParserConfig.getGlobalInstance().setAutoTypeSupport(true);

方法二

在JVM中启动项目时,切勿添加以下参数:

-Dfastjson.parser.autoTypeSupport=true

关闭autoType后,对于需要使用“@type”能力的场景,采用添加autoType白名单的方式将目标类设为可用。

-END-

e5e3f143fd8a657518bee63e1d6d38f3.png

6212428ab50267b7aa5d06dc4b8178b2.png

c9d52af68ef8593b0c40a75d75678a5a.gif

weixin_39775577
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fastjson新版本库1.2.47
12-25
fastjon最新版本库1.2.47,分享资源,一起学习。
fastjson新版本jar包
07-21
fastjson新版本jar包 fastjson-1.2.14.jar
Day83:服务攻防-开发组件安全&Jackson&FastJson版本&XStream&CVE环境复现
最新发布
qq_61553520的博客
04-05 1588
小迪安全-Day83:服务攻防-开发组件安全&Jackson&FastJson版本&XStream&CVE环境复现
fastjson-1.2.66版 2020年最新发布,继续加固安全
03-13
fastjson 1.2.66 已发布,这又是一个维护版本,修复了一些 BUG,并且做安全加固,补充了 AutoType 黑名单。 Issues 修复某些场景下BeanToArray报错的问题 修复某些场景多版本共存导致的的兼容问题 修复JSONArray构造方法中,由null List会引发的NPE问题 修复大对象某些场景会报错的问题 #2779 修复字符串自动转换为数值时,小数点后全零报错的问题 #2838 修复某些场景下不识别Kotlin泛型的问题 修复开始SupportNonPublicField特性后JSONField配置name不支持private字段的问题 #2866 修复纳秒级 Timestamp 解析异常问题 #2894 日期自动识别增强对纳秒时间的支持的 支持对Queue类型的反序列化 修复JSONField 在LocalDateTime类型时 format 不生效问题 修复JSONValidator有些场景不能识别非法JSON数据的问题 #3017 加强安全防护
FASTJSON 2.0 新版本
Dily_Su的博客
05-05 9093
FASTJSON 2.0是FASTJSON项目的重要升级,目标是为下一个十年提供一个高性能的JSON库,同一套API支持JSON/JSONB两种协议,JSONPath是一等公民,支持全量解析和部分解析,支持Java服务端、客户端Android、大数据场景。
各个版本fastJson_jar包最新版
10-17
各个版本fastJson_jar包最新版,方便各位学习,交流互用
版本fastjson-1.2.71解决安全漏洞.rar
04-14
版本fastjson-1.2.71解决安全漏洞
fastjson爆出重大漏洞,攻击者可使整个业务瘫痪
01-07
2019年9月5日,360CERT监测到2019年9月3日fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\x转义字符时可能引发OOM的问题的修复。 360CERT 判断该漏洞危害中。影响面较...
fastjson1.2.67 2020年最新版.rar
03-28
Alibaba发布的最新版本Fastjson1.2.67已经防御此漏洞;只需要下载fastjson-1.2.67.jar包更新即可。
最新版fastjson-2.0.4.jar
06-22
最新版fastjson-2.0.4.jar,阿里巴巴旗下现最流行的json转换工具包。详细操作使用,请参考我的文章链接:https://blog.csdn.net/qq_45978154/article/details/125004445?spm=1001.2014.3001.5502
fastjson最新版2016/4/18
08-19
比Gson更快速地解析
官方最新版fastjson-1.2.33.jar下载
06-12
官方最新版fastjson-1.2.33.jar下载
fastjson的jar包 1.2.44 2017年12月最新版本
01-02
阿里巴巴公司研发的fastjson1.2.44的jar包,新鲜热乎便宜好用
fastjson-1.2.4最新版本
03-19
fastjson-1.2.4.jar 最新版本
最新版 fastjson-1.2.71.jar
06-15
最新版 fastjson-1.2.71.jar
fastjson最新版1.2.73.zip
08-12
1)能够支持将java bean序列化成JSON字符串,也能够将JSON字符串反序列化成Java bean。 (2)顾名思义,FastJson操作JSON的速度是非常快的。 (3)无其他包的依赖。 (4)使用比较方便。
Fastjson 2 来了,性能继续提升,还能再战十年
weixin_45727359的博客
04-23 732
FASTJSON 2.0是FASTJSON项目的重要升级,目标是为下一个十年提供一个高性能的JSON库,同一套API支持JSON/JSONB两种协议,JSONPath是一等公民,支持全量解析和部分解析,支持Java服务端、客户端Android、大数据场景。FASJTONS2代码 https://github.com/alibaba/fastjson2/releases/t...
fastjson新版本_06.01 | fastjson两连发:修复高危安全漏洞
weixin_39633134的博客
11-28 457
尊敬的腾讯云用户,您好!近日,腾讯云安全运营中心监测到,Fastjson <=1.2.68版本存在远程代码执行漏洞漏洞被利用可直接获取服务器权限。为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON...
fastJson_jar包 1.2.57最新版本
04-21
Fastjson is a Java library that can be used to convert Java Objects into their JSON representation. It can also be used to convert a JSON string to an equivalent Java object. Fastjson can work with arbitrary Java objects including pre-existing objects that you do not have source-code of.
fastjson新版本
12-05
根据提供的引用内容,FASTJSON 2.0是FASTJSON项目的重要升级,目前是最新版本。它支持JSON/JSONB两种协议,JSONPath是一等公民,支持全量解析和部分解析,支持Java服务端、客户端Android、大数据场景。如果你想使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值