fastjson版本有安全问题问题,现在都是1.2.28,可以升到1.2.51以上吗
fastjson版本问题,现在都是1.2.28,可以升到1.2.58以上吗
fastjson目前流传的有两个洞比较厉害, 一、fastjson版本<1.2.25,rce可以远程直接获取服务器权限 (参考:https://github.com/alibaba/fastjson/wiki/security_update_20170315)
二、fastjson版本<1.2.51(本次需要升级事项) 目前安全市面利用poc已经公开(公开的利用脚本影响version<1.2.48),利用脚本可以远程直接获取服务器权限,目前黑产已经开始批量获取webshell开始搞了。
(参考链接:官方持续拒绝发布公开文档说明次安全升级工作),猜测可能阿里内部未完成升级工作,所以暂时不公开文档说明。 本次的漏洞版本<1.2.51,影响相当广,已知多个国内Top N的互联网公司均遭到这个漏洞的web入侵事件。
原提问者GitHub用户bai020
展开
收起
1
条回答
写回答
写回答
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
问答排行榜
最热
最新
推荐问答
