fastJson≤1.2.80漏洞修复
一、fastjson安全漏洞
【漏洞概况】
在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType关闭限制,从而反序列化有安全风险的类,在特定条件下这可能导致远程代码执行。
【漏洞危害】
高危、任意命令执行。
【影响范围】
Fastjson ≤1.2.80
二、修复方案
以下三种修复方案根据业务选择任一合适方案即可:
方案一、建议升级到最新版本1.2.83。
参考链接:https://github.com/alibaba/fastjson/releases/tag/1.2.83
方案二、safeMode加固:Fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化Gadgets类变种攻击(关闭 autoType 注意评估对业务的影响)。
参考链接:https://github.com/alibaba/fastjson/wiki/security_update_20220523
方案三、升级至Fastjson v2。
Fastjson v2地址:https://github.com/alibaba/fastjson2/releases
fastJson≤1.2.80漏洞修复相关推荐
- Drupal 网站漏洞修复以及网站安全防护加固方法
2019独角兽企业重金招聘Python工程师标准>>> drupal是目前网站系统使用较多一个开源PHP管理系统,架构使用的是php环境+mysql数据库的环境配置,drupal的代 ...
- android fastjson漏洞_【漏洞预警】Fastjson 远程代码执行漏洞(暂无PoC)
Fastjson简介 Fastjson是一个Java语言编写的高性能功能完善的JSON库.它采用一种"假定有序快速匹配"的算法,把JSON Parse的性能提升到极致,是目前Jav ...
- Log4j执行漏洞修复教程
12 月 10 日凌晨,Apache 开源项目 Log4j2 的远程代码执行漏洞细节被公开,漏洞威胁等级为:严重. Log4j2 是一个基于 Java 的日志记录工具.它重写了 Log4j 框架,引入 ...
- shrio反序列漏洞修复_Apache Shiro Java 反序列化漏洞分析
Author: rungobier(知道创宇404安全实验室) Date: 2016-08-03 0x00 概述 Apache Shiro 在 Java 的权限及安全验证框架中占用重要的一席之地,在它 ...
- fastjson版本_Fastjson高危漏洞风险提示
漏洞公告:2020年6月1日,Fastjson官方发布autoType开关绕过安全漏洞和补全autoType黑名单的漏洞修复版本:1.2.69.1.2.70版本,相关链接参考: https://git ...
- Linux Bash严重漏洞修复紧急通知
但近日来,发现,很多wdcp的用户都被黑,被增加数据库用户,被上传文件,恶意发包攻击,流量异常,甚至是控制了SSH的权限等 此次事件非常严重,影响也非常大,希望大家及时更新下补丁,以及做下安全限制 在 ...
- FastJson远程命令执行漏洞
FastJson远程命令执行漏洞学习笔记 Fastjson简介 fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean.fastjson.ja ...
- 漏洞修复引发的项目报错
javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure 由于安全组进行漏洞修复,升级了TLS版本,但是 ...
- 浅谈漏洞修复的方法论
序言 大人,时代变了 面临的场景不同 技术的不同 应该怎么做 战略 组织 技术 策略 未来的发展 是否是创业的方向 序言 近日在看到安全牛发布的<漏洞管理的八大趋势>,其中提到了" ...
- Fastjson远程命令执行漏洞总结
1.FastJson 简介 fastjson.jar包原始下载地址:https://github.com/alibaba/fastjson fastjson用于将Java Bean序列化为JSON字符 ...
最新文章
- spring @component的作用
- 错误C4996:'std :: _Copy_impl'
- 动态规划基础——爬楼梯(Leetcode 70)
- 个性化推荐与知识图谱在剧本杀行业的应用与实践
- 特斯拉起诉离职员工窃取机密代码和文件
- SQL Server 2012新功能
- ak330s 置换内外sd
- Android Multimedia框架总结(十六)Camera2框架之openCamera及session过程
- java php 采集数据,php和java进行交互数据
- 初级程序员和二级Java哪个难,软考初级程序员和计算机二级哪个更受欢迎
- 蛋白质互作工具开发笔记(一)——整体计划实施
- 计算机开机黑屏风扇转,电脑风扇转但是开不了机怎么办_电脑风扇转但是黑屏...
- 业务中台--企业流程优化
- Mybatis| Bug合集
- 相机帧率与曝光的关系
- 计算机组成原理肖铁军第二版答案,计算机组成原理(肖铁军编)第二章习题及答案...
- 逆向工程-查壳去壳和加壳的基本原理
- c语言main必须返回int,C语言 错误:’:: main’必须返回’int’
- 说说计算机发展史在你印象里都有哪些内容,第三课 时间的脚印(精选5篇)
- mongodb Reconfig attempted to install a config that would change the implicit default write concern.
热门文章
- 怎么查看邮件服务器25端口,如何避免邮件服务器25端口被攻击
- Linux 权限管理深剖
- Flowable流程设计器的使用
- 新浪微博开发平台接入流程(1)---注册应用
- ESX通过命令行重启虚拟机
- python colormap jet_Opencv:Jetmap或colormap到灰度,反转applyColorMap()
- linux cp指令:略过目录 问题解决
- MyBatis中传递多个参数的方法以及传入混合参数的获取方式
- Altium Designer之多图纸设计
- 【第04题】给定 a 和 b,问 a 能否被 b 整除 | if 语句 和 条件运算符的应用