Fastjson 爆出远程代码执行高危漏洞,更新版本已修复

漏洞介绍
fastjson在1.2.24以及之前版本近日曝出代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程任意代码执行漏洞。

风险:高风险
方式:黑客通过利用漏洞可以实现远程代码执行
影响:1.2.24及之前版本
安全版本:>=1.2.28

修复方法

1.请将fastjson升级到1.2.28或者更新版本

<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.28</version>
  1. 直接下载

1.2.28版本下载地址 http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/

常见问题

  1. 升级遇到不兼容问题怎么办?

1.2.28已经修复了绝大多数兼容问题,但是总会有一些特殊的用法导致不兼容,如果你遇到不兼容问题,通过 https://github.com/alibaba/fastjson/wiki/incompatible_change_list 查看不兼容问题,链接的后面提供了遇到不兼容问题之后的使用相应的sec01版本解决办法。

  1. 升级之后报错autotype is not support

安全升级包禁用了部分autotype的功能,也就是"@type"这种指定类型的功能会被限制在一定范围内使用。如果你使用场景中包括了这个功能,https://github.com/alibaba/fastjson/wiki/enable_autotype 这里有一个介绍如何添加白名单或者打开autotype功能。

  1. 通过配置打开autotype之后是否存在安全漏洞

在1.2.28以及所有的.sec01版本中,有多重保护,但打开autotype之后仍会存在风险,不建议打开,而是使用一个较小范围的白名单。

  1. Android环境使用是否需要升级

目前未发现漏洞对Android系统产生影响,在Android环境中使用不用升级。

本文来自开源中国社区 [http://www.oschina.net]

时间: 2024-10-28 09:22:26

Fastjson 爆出远程代码执行高危漏洞,更新版本已修复的相关文章

IIS 6.0 WebDAV远程代码执行0day漏洞 CVE-2017-7269 PoC已经公开了 但Windows 2003已经没有更新服务了

3月27日,在Windows 2003 R2上使用IIS 6.0 爆出了0Day漏洞(CVE-2017-7269,CNNVD-201703-1151),PoC开始流传,但糟糕的是这产品已经停止更新了,建议大家要么关闭IIS 下的WebDAV服务,要么升级到Windows 2016.绿盟科技发布威胁预警通告,全文如下. Update: 绿盟科技已经发布了该漏洞的分析及防护方案 Microsoft Windows Server 2003 R2 IIS 6.0远程代码执行威胁预警通告 3月27日,Zh

安全更新!VMware紧急修复旗下产品代码执行高危漏洞

本文讲的是安全更新!VMware紧急修复旗下产品代码执行高危漏洞, 本周,VMware紧急发布了多个修补程序,用于解决公司旗下ESXi.vCenter Server.Workstation和Fusion产品中存在的多个安全漏洞,其中甚至还包含一个高危级别漏洞. 这个被确定为高危漏洞的是CVE-2017-4924,它是存在于SVGA设备中的写入区溢出问题,而SVGA设备是由VMware虚拟化产品实现的老旧虚拟显卡. VMware表示,该漏洞可以允许Guest(访客)在主机上执行任意代码. Comi

深度剖析Struts2远程代码执行漏洞

本文讲的是深度剖析Struts2远程代码执行漏洞, 三月初,安全研究人员发现世界上最流行的JavaWeb服务器框架之一– Apache Struts2存在远程代码执行的漏洞,Struts2官方已经确认该漏洞(S2-046,CVE编号为:CVE-2017-5638)风险等级为高危漏洞. 漏洞描述 该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息,导致远程攻击者可通过修改HTTP请求头中的Content-Type值,构造发送恶意的数据包,利用该漏洞进而在受影响服务器上执行任意系统命令

HPE Aruba AirWave Glass产品远程代码执行漏洞CVE-2017-8946 1.0.0及1.0.1版本均受影响

AirWave网络管理平台提供有线和无线网络的可见性,支持移动设备和应用程序.HPE Aruba已经提供了AirWave Glass升级版本1.0.1-1,绿盟科技发布< HPE Aruba AirWave Glass远程代码执行漏洞安全威胁通告 >. HPE Aruba AirWave Glass远程代码执行漏洞安全威胁通告 当地时间2017年5月24日(北京时间2017年5月25日),HP官方发布安全通告,披露了一个关于 HPE Aruba AirWave Glass产品存在远程代码执行的

看我如何黑掉PayPal:从任意文件上传到远程代码执行

本文讲的是看我如何黑掉PayPal:从任意文件上传到远程代码执行, 漏洞发现过程 在上一篇文章中,我描述了我是如何破解OSCP证书的,破解起来非常困难,大概花了我四个多月的时间,但是我如果我不去挖漏洞的话,意味着我就没有零用钱了. 正常人的周末充满了饮料,派对,乐趣等等.或者看权力的游戏 ? 像我这样的人,在周末的时候,会看一些博客或者YouTube视频.我打了Burp(关闭了拦截器)并访问了PayPal的漏洞奖励计划页面,于是我发现了如下图所示的内容: 上图显示的是我访问http://payp

开发者论坛一周精粹(第一期):Fastjson远程代码执行漏洞

第一期(2017年3月13日-2017年3月19日 ) 2017年3月15日,Fastjson 官方发布安全公告,该公告介绍fastjson在1.2.24以及之前版本存在代码执行漏洞代码执行漏洞,恶意攻击者可利用此漏洞进行远程代码执行,从而进一步入侵服务器,目前官方已经发布了最新版本,最新版本已经成功修复该漏洞. [安全漏洞公告专区] [漏洞公告]Fastjson远程代码执行漏洞 发帖人:正禾 [教程] 新手服务器管理助手Linux版(宝塔)安装推荐 发帖人:梦丫头 [口碑商家客流量预测] 代码

绿盟科技网络安全威胁周报2017.12 关注fastjson远程代码执行漏洞 漏洞细节以及利用工具已经曝光

绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-12,绿盟科技漏洞库本周新增44条,其中高危12条.本次周报建议大家关注 fastjson远程代码执行 .目前漏洞细节已经披露,可导致大规模对此漏洞的利用.强烈建议用户检查自己使用的fastjson是否为受影响的版本,如果是,请尽快升级. 焦点漏洞 fastjson远程代码执行 NSFOCUS ID 无 CVE ID 无 受影响版本 1.2.24及之前版本 漏洞点评 fastjson在反序列化时存在安全漏洞,攻击者可以通过提交一个精心构造

Windows服务器近日被爆存在高危远程代码执行漏洞MS12-020

Windows服务器近日被爆存在高危远程代码执行漏洞--MS12-020,微软公司把该漏洞级别定为最高级-严重(Critical),攻击者可以通过向远程桌面端口(端口号3389)发送特定的数据包获得管理员权限. 历史上同样级别的漏洞都造成了巨大的危害和损失.2004年,MS04-011漏洞导致攻击者可以通过远程对445端口发送特定数据包,获得执行权限并传播病毒.依靠此漏洞传播的震荡波病毒造成全球数量众多的电脑瘫痪.2002年,Windows的RPC漏洞导致攻击者可以通过135端口远程控制服务器.

研华Advantech WebAccess爆出10个0Day漏洞 都属于远程代码执行漏洞

在CVSS评分都为7.5,据公开信息显示,厂商和美国ICS-CERT都已经收到并确认这些信息. ZDI-17-567: (0Day) Advantech WebAccess nvA1Media Connect MediaUsername Stack-based Buffer Overflow 远程代码执行漏洞 http://www.zerodayinitiative.com/advisories/ZDI-17-567/ 缓解措施: The killbit can be set on this c