阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 9828阅读
  • 0回复

[安全漏洞公告专区]【漏洞公告】Fastjson远程代码执行漏洞

级别: 论坛版主
发帖
241
云币
478
2017年3月15日,Fastjson 官方发布安全公告,该公告介绍fastjson在1.2.24以及之前版本存在代码执行漏洞代码执行漏洞,恶意攻击者可利用此漏洞进行远程代码执行,从而进一步入侵服务,目前官方已经发布了最新版本,最新版本已经成功修复该漏洞。 +!|9hF'  
具体漏洞详情如下: 8Ac:_Zg  
    
tToTxf~  
漏洞编号: 4t)/  
暂无 H *)NLp  
漏洞名称:  =kuMWaD  
Fastjson远程代码执行漏洞 6R^^.tCs  
官方评级: IC7M$  
高危 Y0X-Zqk'  
漏洞描述: BT(CM,bp  
fastjson在1.2.24以及之前版本存在代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程任意代码执行漏洞。 MNV % =G  
漏洞利用条件和方式: :ijAqfX  
黑客可以远程代码执行成功利用该漏洞。 q|),`.eh\  
漏洞影响范围: O6OP =K!t:  
1.2.24及之前版本 6AhM=C  
漏洞检测: [W7CXZDd  
检查fastjson 版本是否在1.2.24版本内 VTH> o>g  
  1. lsof | grep fastjson
q*9!,!e  
漏洞修复建议(或缓解措施): jB(|";G  
目前官方已经发布了最新版本,该版本已经成功修复该漏洞。 yYfs y?3  
阿里上用户建议采用以下两种方式将fastjson升级到1.2.28或者更新版本: p}~qf  
更新方法如下: HZ:6zH   
  • 1.Maven 依赖配置更新
q*>&^V$M  
通过 maven 配置更新,使用最新版本,如下: {Ja!~N;3  
  1. <dependency>
  2.     <groupId>com.alibaba</groupId>
  3.     <artifactId>fastjson</artifactId>
  4.     <version>1.2.28</version>
  5. </dependency>
Dbz3;t  
  • 2.最新版本下载
~W-PD  
      下载地址:http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/ $A-J,_:T<  
  • 3.云盾WAF防护
gp\<p-}  
       如果您无法及时升级fastjson,您可以选用阿里云云盾WAF 动防护。 Kh_Lp$'0uM  
情报来源: @nCd  
  • https://github.com/alibaba/fastjson/wiki/security_update_20170315
bXNk%W[n  
LBZ+GB  
9'X7w G  
4v{o  
[ 此帖被正禾在2017-03-28 10:35重新编辑 ]
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)