漏洞介绍
fastjson在1.2.24以及之前版本近日曝出代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程任意代码执行漏洞。

风险:高风险
方式:黑客通过利用漏洞可以实现远程代码执行
影响:1.2.24及之前版本
安全版本:>=1.2.28

修复方法

1.请将fastjson升级到1.2.28或者更新版本

<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.28</version>
  1. 直接下载

1.2.28版本下载地址 http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/

常见问题

  1. 升级遇到不兼容问题怎么办?

1.2.28已经修复了绝大多数兼容问题,但是总会有一些特殊的用法导致不兼容,如果你遇到不兼容问题,通过 https://github.com/alibaba/fastjson/wiki/incompatible_change_list 查看不兼容问题,链接的后面提供了遇到不兼容问题之后的使用相应的sec01版本解决办法。

  1. 升级之后报错autotype is not support

安全升级包禁用了部分autotype的功能,也就是"@type"这种指定类型的功能会被限制在一定范围内使用。如果你使用场景中包括了这个功能,https://github.com/alibaba/fastjson/wiki/enable_autotype 这里有一个介绍如何添加白名单或者打开autotype功能。

  1. 通过配置打开autotype之后是否存在安全漏洞

在1.2.28以及所有的.sec01版本中,有多重保护,但打开autotype之后仍会存在风险,不建议打开,而是使用一个较小范围的白名单。

  1. Android环境使用是否需要升级

目前未发现漏洞对Android系统产生影响,在Android环境中使用不用升级。

本文来自开源中国社区 [http://www.oschina.net]

Fastjson 爆出远程代码执行高危漏洞,更新版本已修复相关推荐

  1. Windows RDP远程代码执行高危漏洞加固指南

    漏洞信息 序号 漏洞类型 风险等级 漏洞主机( 操作系统及版本) 1 Windows RDP远程代码执行高危漏洞 高 Windows     2. 漏洞加固实施 漏洞1:Windows RDP远程代码 ...

  2. IE浏览器远程代码执行高危漏洞(CVE-2019-1367)

    IE浏览器远程代码执行高危漏洞(CVE-2019-1367)加固遇到的问题 一.背景介绍 Internet Explorer,是微软公司推出的一款网页浏览器.用户量极大.9月23日微软紧急发布安全更新 ...

  3. Apache Log4j2 远程代码执行高危漏洞 解决方案

    新闻:https://view.inews.qq.com/a/20211210A05KTY00 博主其他文章 Log4j2 高危漏洞分析 简介: Apache Log4j2是一款优秀的Java日志框架 ...

  4. thinkphp5运行原理_ThinkPHP5.1~5.2全版本远程代码执行高危漏洞预警

    漏洞综述 关于ThinkPHP ThinkPHP是一个快速.兼容而且简单的轻量级国产PHP开发框架,其借鉴了国外很多优秀的框架和模式,包括使用面向对象的开发结构和MVC模式,融合了Struts的思想和 ...

  5. 【漏洞预警】Redis 4.x/5.x 远程命令执行高危漏洞修复

    Redis 4.x/5.x 远程命令执行高危漏洞修复 漏洞背景 漏洞描述 影响版本(Redis 4.x.Redis 5.x) 安全建议 一.通过阿里云安全组禁止Redis端口对外或只允许特定安全ip地 ...

  6. fastjson反序列化漏洞_【安全风险通告】fastjson反序列化远程代码执行漏洞安全风险通告...

    近日,奇安信CERT监测到fastjson官方发布新版本,修补了一个反序列化远程代码执行漏洞.远程攻击者可利用该漏洞绕过autoType限制,进而可在目标服务器上执行任意命令.鉴于该漏洞影响较大,建议 ...

  7. php 使用fastjson,Fastjson caucho-quercus远程代码执行漏洞

    Fastjson 组件介绍 Fastjson 是一个 Java 语言编写的高性能功能完善的 JSON 库.它采用一种 " 假定有序快速匹配 " 的算法,把 JSON Parse 的 ...

  8. 突发,Log4j2 爆出远程代码执行漏洞,各大厂纷纷中招!

    今日推荐 这 9 个 Java 开源项目 yyds,你知道几个?阿里技术专家推荐的20本书,免费送!K8S 部署 SpringBoot 项目(一篇够用)妙用Java 8中的 Function接口 消灭 ...

  9. 西门子修复热门 CAD 库中的多个代码执行高危漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 本周二,西门子发布安全公告,通知客户称其 Solid Edge 产品受多个高危漏洞影响,这些漏洞是由很多其它组织机构都在使用的第四方软件引 ...

最新文章

  1. javabean属性的类型选择包装类还是基本数据类型
  2. 谈谈你对摩尔定理的理解.摩尔定理当前还是继续有效吗?
  3. (转载)grep的使用
  4. Kafka设计解析(三) : Kafka High Availability (下)
  5. 文件系统应用笔记之一:FatFS在STM32F4上的移植
  6. 共享的网络如何让自己比别人快_如何用网络推广打造属于自己的网络品牌?
  7. 用easyx画电子钟_实时钟表 · Joker/EasyX - Gitee.com
  8. 最简单的基于DirectShow的示例:视频播放器图形界面版
  9. vs code html插件_VS插件CodeRush全新发布v20.1.7|支持HTML
  10. 旧物手工机器人制作图片_自制送给小朋友的生日礼物,DIY帅气的不织布机器人...
  11. Diamond软件的使用(5)--建立Modelsim仿真环境
  12. C语言的基础实例应用——寻找符合条件的车牌
  13. 武汉大学计算机学院推免率,武汉大学保研率
  14. python从入门到入土图片_Python爬虫入门【7】: 蜂鸟网图片爬取之二
  15. 淘宝、百度、腾讯、京东 那不得不说的四角恋故事
  16. 加密流量分类-论文2:Deep Packet: A Novel Approach For Encrypted Traffic Classification Using Deep Learning
  17. PDF批量反色打印解决方案
  18. 2022-2028全球及中国健康资讯交换(HIE)行业研究及十四五规划分析报告
  19. unraid安装黑群晖虚拟机开机显示 Starting Kernel with USB boot
  20. 服务器测评文档,十年磨一剑,腾讯自研TBase数据库有奖测评

热门文章

  1. 矩阵分析与多元统计 线性空间与线性变换2
  2. Android Bundle类 学习总结
  3. [转]LoadRunner 各个指标分析
  4. 《区块链100问》笔记整理——23~41问
  5. hp服务器安装exsi5.5
  6. Ado.net连接池 sp_reset_connection 概念
  7. SQL Server里的INTERSECT
  8. mysql远程连接数据库的二种方法_mysql 远程连接数据库的二种方法
  9. 8.1 A Bayesian Methodology for Systemic Risk Assessment in Financial Networks(4)
  10. 计算机网络按功能自底而上划分,大连理工大学2011计算机期末模拟题3