请选择 进入手机版 | 继续访问电脑版

[漏洞预警] Fastjson 远程代码执行漏洞

[复制链接]

3

主题

3

帖子

40

积分

版主

Rank: 7Rank: 7Rank: 7

积分
40
8088 0 漏洞预警-01 发表于 2017-3-17 10:37:03
Fastjson简介

t0122ec090ec94fd9ad.jpg


Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。
漏洞概要:
2017年3月15日,Fastjson 官方发布安全公告,该公告介绍fastjson在1.2.24以及之前版本存在代码执行漏洞代码执行漏洞,恶意攻击者可利用此漏洞进行远程代码执行,从而进一步入侵服务器,目前官方已经发布了最新版本,最新版本已经成功修复该漏洞。
漏洞编号: 暂无
漏洞名称: Fastjson远程代码执行漏洞
官方评级: 高危
漏洞描述:
fastjson在1.2.24以及之前版本存在代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程任意代码执行漏洞。
漏洞利用条件和方式:
黑客可以远程代码执行成功利用该漏洞。
漏洞影响范围:
1.2.24及之前版本
漏洞检测WAF检测办法
检测post内容中是否包含如下字符:
  1. "@type"
复制代码



检查fastjson 版本是否在1.2.24版本内
  1. ps aux | grep fastjson
复制代码

漏洞修复建议(或缓解措施):
目前官方已经发布了最新版本,该版本已经成功修复该漏洞。
建议采用以下两种方式将fastjson升级到1.2.28或者更新版本:
更新方法如下:
1.Maven 依赖配置更新
通过 maven 配置更新,使用最新版本,如下:
  1. <dependency>
  2.     <groupId>com.alibaba</groupId>
  3.     <artifactId>fastjson</artifactId>
  4.     <version>1.2.28</version>
  5. </dependency>
复制代码



2.最新版本下载
下载地址:http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/   








您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

1、本版为漏洞预警板块,禁止发和漏洞无关的帖子。
2、本站所有资源,可用于网站安全检测,不得使用非法,使用非法与本站无关
3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和云夕阁论坛的同意
4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、如本版块文章侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
6、云夕阁论坛管理员和版主有权不事先通知发贴者而删除本文
  • 今日
    0
  • 主题
    6

推荐阅读

Archiver|手机版|小黑屋| 云夕阁 ( 湘ICP备16017785号-2 )     

返回顶部 返回列表