阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 9798阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】Fastjson远程代码执行漏洞

级别: 论坛版主
发帖
241
云币
478
2017年3月15日,Fastjson 官方发布安全公告,该公告介绍fastjson在1.2.24以及之前版本存在代码执行漏洞代码执行漏洞,恶意攻击者可利用此漏洞进行远程代码执行,从而进一步入侵服务,目前官方已经发布了最新版本,最新版本已经成功修复该漏洞。 [/}y!;3iXM  
具体漏洞详情如下: &95iGL28Q  
    
Zc"Vf]:  
漏洞编号: un4q,Ac~0  
暂无 F)we^'X  
漏洞名称: D:9/;9V  
Fastjson远程代码执行漏洞 }t tiL  
官方评级: (~~*PT-  
高危 g0m6D:f  
漏洞描述: ]&za^%q0&  
fastjson在1.2.24以及之前版本存在代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程任意代码执行漏洞。 9]AiaV9  
漏洞利用条件和方式: uaMf3HeYV  
黑客可以远程代码执行成功利用该漏洞。 U!E   
漏洞影响范围: KgtMrT5<q  
1.2.24及之前版本 pu(a&0  
漏洞检测: |sN>/89=/  
检查fastjson 版本是否在1.2.24版本内 `mro2A  
  1. lsof | grep fastjson
[C PgfVz  
漏洞修复建议(或缓解措施): 6&o9mc\I  
目前官方已经发布了最新版本,该版本已经成功修复该漏洞。 T~%}(0=m  
阿里上用户建议采用以下两种方式将fastjson升级到1.2.28或者更新版本: 7 tOOruiC  
更新方法如下: gU7@}P  
  • 1.Maven 依赖配置更新
P@ewr}  
通过 maven 配置更新,使用最新版本,如下: lW^bn(_gQ  
  1. <dependency>
  2.     <groupId>com.alibaba</groupId>
  3.     <artifactId>fastjson</artifactId>
  4.     <version>1.2.28</version>
  5. </dependency>
\atztC{-L>  
  • 2.最新版本下载
(9_~R^='y  
      下载地址:http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/ NZ(c>r6  
  • 3.云盾WAF防护
P"dWh;I_  
       如果您无法及时升级fastjson,您可以选用阿里云云盾WAF 动防护。 LRO'o{4$E  
情报来源: G.2ij%Zz  
  • https://github.com/alibaba/fastjson/wiki/security_update_20170315
cPh U q ET  
MHN?ZHC)  
;=IC.<Q<}  
2ZMYA=[!  
[ 此帖被正禾在2017-03-28 10:35重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)