fastjson1.2.74版本发布,fastjson低版本存在反序列化漏洞升级

最新推荐文章于 2024-08-08 17:20:38 发布
最新推荐文章于 2024-08-08 17:20:38 发布
阅读量1.5k 收藏
点赞数
分类专栏: 项目安全相关 文章标签: java json 安全漏洞 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yukuleshui/article/details/118526851
版权

介绍说明

在项目开发中会经常使用到第三方库,比如fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。最为第三方库在项目中会使用,提供了方便。
但在安全方面fastjson总是被曝出存在反序列化安全漏洞,会造成会服务器的攻击,风险极大。
描述

影响版本

fastjson <=1.2.68
fastjson sec版本 <= sec9
android版本不受此漏洞影响

解决办法

升级至最新版本1.2.74

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.74</version>
</dependency>

1.2.74更新说明

Issues
修复序列化时BeforeFilter/AfterFilter某些场景报空指针异常的问题 #3373 #3475
TypeUtils float/double转换为BigInteger/BigDecimal时判断isNan和isInfinite
支持通过启动参数和fastjson.properties配置fastjson.auto.discoverable, 解决某些场景fastjson与jackson冲突问题
增强对Jdk8日期格式化支持 #3288
修复某些场景对泛型推导不正确的问题 #3448
修复JSONValidator某些场景结果不对的问题 #3453 #3460
序列化增加对org.json.JSONObject的支持

土木桩
关注
专栏目录
fastjson 1.2.74版本发布fastjson反序列化漏洞升级
bufegar0的博客
10-14 6716
更新说明 fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化JavaBean。 但在安全方面fastjson总是被曝出存在反序列化安全漏洞,会造成会服务器的攻击,风险极大。 影响版本 fastjson <=1.2.68 fastjson sec版本 <= sec9 android版本不受此漏洞影响 解决办法 升级至最新版本1.2.74 1.2.74更新说明 Issues 修复序列化时B
最新版 fastjson-1.2.74.jar
10-09
最新版 fastjson-1.2.74.jar最新版 fastjson-1.2.74.jar最新版 fastjson-1.2.74.jar
fastjson解析器和生成器 v1.2.74
11-03
为您提供fastjson解析器和生成器下载,Fastjson是一个Java库,可用于将Java对象转换为其JSON表示形式。它还可以用于将JSON字符串转换为等效的Java对象。Fastjson可以与任意Java对象一起使用,包括您没有源代码的现有对象。fastjson是一个性能很好的Java语言实现的JSON解析器和生成器,来自阿里巴巴的工程师开发。Fastjson特点:在服务器端和android客户端中提供最佳性能提供简单的toJSON
Java代码审计-fastjson反序列化漏洞分析
最新发布
qq_44780157的博客
08-08 1967
Fastjson反序列化漏洞各个版本的原理浅析。
fastjson 版本漏洞,请至少升级1.2.60
默默不代表沉默
11-27 2948
0x00 漏洞背景 2019年9月5日,fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含x转义字符时可能引发OOM的问题的修复。 360CERT 判断该漏洞危害中。影响面较大。攻击者可以通过发送构造好的请求而致使当前线程瘫痪,当发送的恶意请求过多时有可能使业务直接瘫痪。 建议广大用户对自身的业务/产...
它又又又来了,Fastjson 最新高危漏洞来袭!快升级
emprere的博客
05-31 365
往期热门文章:1,《往期精选优秀博文都在这里了!》2、呕心沥血总结的14张思维导图,教你构建 Python核心知识体系(附高清下载)3、一份来自亚马逊技术专家的Google面试指南,Gi...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列化和反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
fastjson-1.2.83 针对近期阿里fastjson漏洞升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
03-02
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
fastjson-1.2.83.jar下载
04-18
fastjson-1.2.83.jar下载,fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也支持从JSON字符串反序列化JavaBean。fastjson采用全新的JSON解析算法,运行速度极快...
高危,Fastjson反序列化远程代码执行漏洞风险通告,请尽快升级
葡萄城技术团队博客
05-24 5403
据国家网络与信息安全信息通报中心监测发现,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。 据统计,此次事件影响Fastjson 1.2.80及之前所有版本。目前, Fastjson最新版本1.2.83已修复该漏洞。 葡萄城提醒广大开发者:请及时排查梳理受影响情况,在确保安全的前提下修复漏洞、消除隐患,提高网络系统安全防护能力,严防网络攻击事件。 漏洞描述 5月23日,Fastj
fastjson-1.2.74.jar和1.2.53两个版本
10-22
2020最新的fastjson.jar,阿里开源的,非常好用,里面有两个版本,分别是1.2.53跟1.2.74两个版本,欢迎大家下载
【Linux】升级FastJSON版本-jar
m0_52985087的博客
07-09 1456
在长期运行的应用服务器上,近期的安全漏洞扫描揭示了fastjson组件存在潜在的安全隐患(FastJSON是一个Java 语言实现的 JSON 解析器和生成器。FastJSON存在远程代码执行漏洞,恶意攻击者可以通过此漏洞远程执行恶意代码来入侵服务器)。为解决这一漏洞,解决方案是对fastjson版本升级,以增强系统的安全性。为了避免因重新打包整个应用带来的不便与效率损失,我们采取了一种更为灵活的更新策略——直接在生产环境中升级fastjson至最新稳定版本
alibaba-fastjson漏洞升级记录
sjy_2010的专栏
07-14 757
alibaba-fastjson漏洞升级记录
fastjson漏洞升级修复小记
weixin_34212762的博客
04-01 2829
2019独角兽企业重金招聘Python工程师标准>>> ...
本周推荐 · FastJson 升级了!
公众号:逛逛GitHub
05-06 1064
本期推荐开源项目目录:1. FastJson 升级了2. 一个想让直播回归纯粹的项目3. 一个舒适的笔记平台4. Markdown 可视化为思维导图5. 一个绘图应用程序01FastJson 升级FASTJSON v2 是 FASTJSON 项目的重要升级,目标是为下一个十年提供一个高性能的 JSON 库。通过同一套API,支持 JSON/JSONB 两种协议,支持全量...
fastjson漏洞导致服务瘫痪,先别忙升级
zxiaofan.com
10-13 2031
1、背景   2019年9月5日,fastjson修复了当字符串中包含\x转义字符时可能引发OOM的问题。建议广大用户升级fastjson版本至少到1.2.60。  一个bug这么恐怖,竟然直接OOM,亲身体验下吧。测试代码如下: JSON.parse("[{\"a\":\"a\\x]"); 实验效果:4分钟 堆内存 占用上升达2G;  &em...
将项目中的阿里的fastjson版本升级到最新版本
Smilelfq的专栏
08-28 9301
百度: 点进去: 复制这段: <!-- https://mvnrepository.com/artifact/com.alibaba/fastjson --> <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjso...
fastjson1.2.80漏洞
09-13
fastjson 1.2.80 版本中,存在一个默认的反序列化特性,在处理某些特定类型的反序列化存在安全漏洞。攻击者可以构造一个特定的 JSON 字符串,通过该字符串触发漏洞,从而执行任意的 Java 代码。 为了防止受到 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值