【漏洞公告】Fastjson远程代码执行漏洞-问答-阿里云开发者社区-阿里云

开发者社区> 正禾> 正文

【漏洞公告】Fastjson远程代码执行漏洞

2017-03-16 11:51:34 12044 0
2017年3月15日,Fastjson 官方发布安全公告,该公告介绍fastjson在1.2.24以及之前版本存在代码执行漏洞代码执行漏洞,恶意攻击者可利用此漏洞进行远程代码执行,从而进一步入侵服务器,目前官方已经发布了最新版本,最新版本已经成功修复该漏洞。
具体漏洞详情如下:
    

漏洞编号:
暂无
漏洞名称:
Fastjson远程代码执行漏洞
官方评级:
高危
漏洞描述:
fastjson在1.2.24以及之前版本存在代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程任意代码执行漏洞。
漏洞利用条件和方式:
黑客可以远程代码执行成功利用该漏洞。
漏洞影响范围:
1.2.24及之前版本
漏洞检测:
检查fastjson 版本是否在1.2.24版本内
lsof | grep fastjson
漏洞修复建议(或缓解措施):
目前官方已经发布了最新版本,该版本已经成功修复该漏洞。
阿里云上用户建议采用以下两种方式将fastjson升级到1.2.28或者更新版本:
更新方法如下:
  • 1.Maven 依赖配置更新

通过 maven 配置更新,使用最新版本,如下:
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.28</version>
</dependency>

  • 2.最新版本下载

      下载地址: http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/
  • 3.云盾WAF防护

       如果您无法及时升级fastjson,您可以选用 阿里云云盾WAF 自动防护。
情报来源:
  • https://github.com/alibaba/fastjson/wiki/security_update_20170315




取消 提交回答
全部回答(0)
相关问答

162

回答

惊喜翻倍:免费ECS+免费环境配置~!(ECS免费体验6个月活动3月31日结束)

豆妹 2014-10-29 17:52:21 223017浏览量 回答数 162

8

回答

OceanBase 使用动画(持续更新)

mq4096 2019-02-20 17:16:36 333888浏览量 回答数 8

110

回答

OSS存储服务-客户端工具

newegg11 2012-05-17 15:37:18 292302浏览量 回答数 110

22

回答

爬虫数据管理【问答合集】

我是管理员 2018-08-10 16:37:41 146796浏览量 回答数 22

18

回答

阿里云开放端口权限

xcxx 2016-07-20 15:03:33 643154浏览量 回答数 18

31

回答

[@倚贤][¥20]刚学完html/css/js的新手学习servlet、jsp需要注意哪些问题?

弗洛伊德6 2018-10-27 21:52:43 145637浏览量 回答数 31

33

回答

Win Server 2003-2016 加密勒索事件必打补丁合集

妙正灰 2017-05-15 10:44:38 277547浏览量 回答数 33

38

回答

安全组详解,新手必看教程

我的中国 2017-11-30 15:23:46 256880浏览量 回答数 38

294

回答

Linux Bash严重漏洞修复紧急通知(已全部给出最终修复方案)

qilu 2014-09-25 13:26:50 431625浏览量 回答数 294

13

回答

游戏云精彩帖汇总

nono20011908 2014-08-22 11:00:12 203649浏览量 回答数 13
+关注
正禾
云安全专家,专业研究云安全5年+,擅长云安全防护体系建设和安全运营。
6
文章
139
问答
推荐问答
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载