Fastjson 爆出远程代码执行高危漏洞,更新版本已修复
漏洞介绍
fastjson在1.2.24以及之前版本近日曝出代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程任意代码执行漏洞。
风险:高风险
方式:黑客通过利用漏洞可以实现远程代码执行
影响:1.2.24及之前版本
安全版本:>=1.2.28
修复方法
1.请将fastjson升级到1.2.28或者更新版本
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.28</version>
- 直接下载
1.2.28版本下载地址 http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/
常见问题
- 升级遇到不兼容问题怎么办?
1.2.28已经修复了绝大多数兼容问题,但是总会有一些特殊的用法导致不兼容,如果你遇到不兼容问题,通过 https://github.com/alibaba/fastjson/wiki/incompatible_change_list 查看不兼容问题,链接的后面提供了遇到不兼容问题之后的使用相应的sec01版本解决办法。
- 升级之后报错autotype is not support
安全升级包禁用了部分autotype的功能,也就是"@type"这种指定类型的功能会被限制在一定范围内使用。如果你使用场景中包括了这个功能,https://github.com/alibaba/fastjson/wiki/enable_autotype 这里有一个介绍如何添加白名单或者打开autotype功能。
- 通过配置打开autotype之后是否存在安全漏洞
在1.2.28以及所有的.sec01版本中,有多重保护,但打开autotype之后仍会存在风险,不建议打开,而是使用一个较小范围的白名单。
- Android环境使用是否需要升级
目前未发现漏洞对Android系统产生影响,在Android环境中使用不用升级。
本文来自开源中国社区 [http://www.oschina.net]
Fastjson 爆出远程代码执行高危漏洞,更新版本已修复相关推荐
- Windows RDP远程代码执行高危漏洞加固指南
漏洞信息 序号 漏洞类型 风险等级 漏洞主机( 操作系统及版本) 1 Windows RDP远程代码执行高危漏洞 高 Windows 2. 漏洞加固实施 漏洞1:Windows RDP远程代码 ...
- IE浏览器远程代码执行高危漏洞(CVE-2019-1367)
IE浏览器远程代码执行高危漏洞(CVE-2019-1367)加固遇到的问题 一.背景介绍 Internet Explorer,是微软公司推出的一款网页浏览器.用户量极大.9月23日微软紧急发布安全更新 ...
- Apache Log4j2 远程代码执行高危漏洞 解决方案
新闻:https://view.inews.qq.com/a/20211210A05KTY00 博主其他文章 Log4j2 高危漏洞分析 简介: Apache Log4j2是一款优秀的Java日志框架 ...
- thinkphp5运行原理_ThinkPHP5.1~5.2全版本远程代码执行高危漏洞预警
漏洞综述 关于ThinkPHP ThinkPHP是一个快速.兼容而且简单的轻量级国产PHP开发框架,其借鉴了国外很多优秀的框架和模式,包括使用面向对象的开发结构和MVC模式,融合了Struts的思想和 ...
- 【漏洞预警】Redis 4.x/5.x 远程命令执行高危漏洞修复
Redis 4.x/5.x 远程命令执行高危漏洞修复 漏洞背景 漏洞描述 影响版本(Redis 4.x.Redis 5.x) 安全建议 一.通过阿里云安全组禁止Redis端口对外或只允许特定安全ip地 ...
- fastjson反序列化漏洞_【安全风险通告】fastjson反序列化远程代码执行漏洞安全风险通告...
近日,奇安信CERT监测到fastjson官方发布新版本,修补了一个反序列化远程代码执行漏洞.远程攻击者可利用该漏洞绕过autoType限制,进而可在目标服务器上执行任意命令.鉴于该漏洞影响较大,建议 ...
- php 使用fastjson,Fastjson caucho-quercus远程代码执行漏洞
Fastjson 组件介绍 Fastjson 是一个 Java 语言编写的高性能功能完善的 JSON 库.它采用一种 " 假定有序快速匹配 " 的算法,把 JSON Parse 的 ...
- 突发,Log4j2 爆出远程代码执行漏洞,各大厂纷纷中招!
今日推荐 这 9 个 Java 开源项目 yyds,你知道几个?阿里技术专家推荐的20本书,免费送!K8S 部署 SpringBoot 项目(一篇够用)妙用Java 8中的 Function接口 消灭 ...
- 西门子修复热门 CAD 库中的多个代码执行高危漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 本周二,西门子发布安全公告,通知客户称其 Solid Edge 产品受多个高危漏洞影响,这些漏洞是由很多其它组织机构都在使用的第四方软件引 ...
最新文章
- javabean属性的类型选择包装类还是基本数据类型
- 谈谈你对摩尔定理的理解.摩尔定理当前还是继续有效吗?
- (转载)grep的使用
- Kafka设计解析(三) : Kafka High Availability (下)
- 文件系统应用笔记之一:FatFS在STM32F4上的移植
- 共享的网络如何让自己比别人快_如何用网络推广打造属于自己的网络品牌?
- 用easyx画电子钟_实时钟表 · Joker/EasyX - Gitee.com
- 最简单的基于DirectShow的示例:视频播放器图形界面版
- vs code html插件_VS插件CodeRush全新发布v20.1.7|支持HTML
- 旧物手工机器人制作图片_自制送给小朋友的生日礼物,DIY帅气的不织布机器人...
- Diamond软件的使用(5)--建立Modelsim仿真环境
- C语言的基础实例应用——寻找符合条件的车牌
- 武汉大学计算机学院推免率,武汉大学保研率
- python从入门到入土图片_Python爬虫入门【7】: 蜂鸟网图片爬取之二
- 淘宝、百度、腾讯、京东 那不得不说的四角恋故事
- 加密流量分类-论文2:Deep Packet: A Novel Approach For Encrypted Traffic Classification Using Deep Learning
- PDF批量反色打印解决方案
- 2022-2028全球及中国健康资讯交换(HIE)行业研究及十四五规划分析报告
- unraid安装黑群晖虚拟机开机显示 Starting Kernel with USB boot
- 服务器测评文档,十年磨一剑,腾讯自研TBase数据库有奖测评
热门文章
- 矩阵分析与多元统计 线性空间与线性变换2
- Android Bundle类 学习总结
- [转]LoadRunner 各个指标分析
- 《区块链100问》笔记整理——23~41问
- hp服务器安装exsi5.5
- Ado.net连接池 sp_reset_connection 概念
- SQL Server里的INTERSECT
- mysql远程连接数据库的二种方法_mysql 远程连接数据库的二种方法
- 8.1 A Bayesian Methodology for Systemic Risk Assessment in Financial Networks(4)
- 计算机网络按功能自底而上划分,大连理工大学2011计算机期末模拟题3