2017年3月15日,Fastjson 官方发布安全公告,该公告介绍fastjson在1.2.24以及之前版本存在代码执行漏洞代码执行漏洞,恶意攻击者可利用此漏洞进行远程代码执行,从而进一步入侵服务器,目前官方已经发布了最新版本,最新版本已经成功修复该漏洞。
具体漏洞详情如下:
漏洞编号:
暂无
漏洞名称:
Fastjson远程代码执行漏洞
官方评级:
高危
漏洞描述:
fastjson在1.2.24以及之前版本存在代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程任意代码执行漏洞。
漏洞利用条件和方式:
黑客可以远程代码执行成功利用该漏洞。
漏洞影响范围:
1.2.24及之前版本
漏洞检测确认:
检查fastjson 版本是否在1.2.24版本内lsof | grep fastjson
漏洞修复建议(或缓解措施):
目前官方已经发布了最新版本,该版本已经成功修复该漏洞。
阿里云上用户建议采用以下两种方式将fastjson升级到1.2.28或者更新版本:
更新方法如下:
- 1.Maven 依赖配置更新
通过 maven 配置更新,使用最新版本,如下:
<dependency><groupId>com.alibaba</groupId><artifactId>fastjson</artifactId><version>1.2.28</version></dependency>
- 2.最新版本下载
下载地址:http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/
- 3.云盾WAF防护
如果您无法及时升级fastjson,您可以选用阿里云云盾WAF自动防护。
情报来源: