【漏洞公告】Fastjson远程代码执行漏洞
2017年3月15日,Fastjson 官方发布安全公告,该公告介绍fastjson在1.2.24以及之前版本存在代码执行漏洞代码执行漏洞,恶意攻击者可利用此漏洞进行远程代码执行,从而进一步入侵服务器,目前官方已经发布了最新版本,最新版本已经成功修复该漏洞。
具体漏洞详情如下:
漏洞编号:
暂无
漏洞名称:
Fastjson远程代码执行漏洞
官方评级:
高危
漏洞描述:
fastjson在1.2.24以及之前版本存在代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程任意代码执行漏洞。
漏洞利用条件和方式:
黑客可以远程代码执行成功利用该漏洞。
漏洞影响范围:
1.2.24及之前版本
漏洞检测:
检查fastjson 版本是否在1.2.24版本内
lsof | grep fastjson
漏洞修复建议(或缓解措施):
目前官方已经发布了最新版本,该版本已经成功修复该漏洞。
阿里云上用户建议采用以下两种方式将fastjson升级到1.2.28或者更新版本:
更新方法如下:
- 1.Maven 依赖配置更新
通过 maven 配置更新,使用最新版本,如下:
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.28</version>
</dependency>
- 2.最新版本下载
下载地址: http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/
- 3.云盾WAF防护
如果您无法及时升级fastjson,您可以选用 阿里云云盾WAF 自动防护。
情报来源:
- https://github.com/alibaba/fastjson/wiki/security_update_20170315
展开
收起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
阿里云 AI 助理回答
Fastjson远程代码执行漏洞解决方案
漏洞概述
- 漏洞名称:Fastjson远程代码执行漏洞
- 官方评级:高危
- 影响版本:1.2.24及之前版本
- 漏洞描述:攻击者通过提交特制的恶意序列化数据至服务器,利用fastjson在反序列化过程中的漏洞,可实现远程任意代码执行,存在服务器被入侵的风险。
检测方法
检查您的系统中Fastjson版本是否在受影响范围内,可以通过以下命令进行检测:
lsof | grep fastjson
修复建议
-
升级Fastjson版本:官方已发布新版本修复此漏洞,建议将Fastjson升级至1.2.28或更高版本。
- Maven项目更新:在
pom.xml文件中修改Fastjson依赖为最新版本:<dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.28</version> </dependency> - 直接下载:您也可以直接从Maven仓库下载最新版Fastjson JAR包:
http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/
- Maven项目更新:在
-
云盾WAF防护:若暂时无法升级,可启用阿里云云盾WAF服务,以获得针对该漏洞的自动防护能力。
预防措施与注意事项
- 定期检查并更新依赖库,确保使用的是安全版本。
- 开启应用的日志审计功能,监控异常行为。
- 对用户输入的数据进行严格的验证和过滤,防止恶意数据注入。
- 强烈建议遵循最小权限原则配置服务,避免不必要的服务暴露于公网。
通过上述步骤,您可以有效应对Fastjson远程代码执行漏洞,保护您的服务器免受潜在的安全威胁。
有帮助
无帮助
AI 助理回答生成答案可能存在不准确,仅供参考
相关问答