fastJson≤1.2.80漏洞修复

2024-05-15 09:20:50

一、fastjson安全漏洞

【漏洞概况】

在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞，攻击者可以在特定依赖下利用此漏洞绕过默认autoType关闭限制，从而反序列化有安全风险的类，在特定条件下这可能导致远程代码执行。

【漏洞危害】

高危、任意命令执行。

【影响范围】

Fastjson ≤1.2.80

二、修复方案

以下三种修复方案根据业务选择任一合适方案即可:

方案一、建议升级到最新版本1.2.83。

参考链接：https://github.com/alibaba/fastjson/releases/tag/1.2.83

方案二、safeMode加固：Fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持 autoType，可杜绝反序列化Gadgets类变种攻击（关闭 autoType 注意评估对业务的影响）。

参考链接：https://github.com/alibaba/fastjson/wiki/security_update_20220523

方案三、升级至Fastjson v2。

Fastjson v2地址：https://github.com/alibaba/fastjson2/releases

fastJson≤1.2.80漏洞修复相关推荐

Drupal 网站漏洞修复以及网站安全防护加固方法
2019独角兽企业重金招聘Python工程师标准>>> drupal是目前网站系统使用较多一个开源PHP管理系统,架构使用的是php环境+mysql数据库的环境配置,drupal的代 ...
android fastjson漏洞_【漏洞预警】Fastjson 远程代码执行漏洞(暂无PoC)
Fastjson简介 Fastjson是一个Java语言编写的高性能功能完善的JSON库.它采用一种"假定有序快速匹配"的算法,把JSON Parse的性能提升到极致,是目前Jav ...
Log4j执行漏洞修复教程
12 月 10 日凌晨,Apache 开源项目 Log4j2 的远程代码执行漏洞细节被公开,漏洞威胁等级为:严重. Log4j2 是一个基于 Java 的日志记录工具.它重写了 Log4j 框架,引入 ...
shrio反序列漏洞修复_Apache Shiro Java 反序列化漏洞分析
Author: rungobier(知道创宇404安全实验室) Date: 2016-08-03 0x00 概述 Apache Shiro 在 Java 的权限及安全验证框架中占用重要的一席之地,在它 ...
fastjson版本_Fastjson高危漏洞风险提示
漏洞公告:2020年6月1日,Fastjson官方发布autoType开关绕过安全漏洞和补全autoType黑名单的漏洞修复版本:1.2.69.1.2.70版本,相关链接参考: https://git ...
Linux Bash严重漏洞修复紧急通知
但近日来,发现,很多wdcp的用户都被黑,被增加数据库用户,被上传文件,恶意发包攻击,流量异常,甚至是控制了SSH的权限等此次事件非常严重,影响也非常大,希望大家及时更新下补丁,以及做下安全限制在 ...
FastJson远程命令执行漏洞
FastJson远程命令执行漏洞学习笔记 Fastjson简介 fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean.fastjson.ja ...
漏洞修复引发的项目报错
javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure 由于安全组进行漏洞修复,升级了TLS版本,但是 ...
浅谈漏洞修复的方法论
序言大人,时代变了面临的场景不同技术的不同应该怎么做战略组织技术策略未来的发展是否是创业的方向序言近日在看到安全牛发布的<漏洞管理的八大趋势>,其中提到了" ...
Fastjson远程命令执行漏洞总结
1.FastJson 简介 fastjson.jar包原始下载地址:https://github.com/alibaba/fastjson fastjson用于将Java Bean序列化为JSON字符 ...

最新文章

热门文章