fastjson 存在远程代码执行 0day 漏洞,建议升级至最新版本

2019年07月12日

2019年6月22日,阿里云云盾应急响应中心监测到FastJSON存在0day漏洞,攻击者可以利用该漏洞绕过黑名单策略进行远程代码执行。

漏洞名称

FastJSON远程代码执行0day漏洞

漏洞描述

利用该0day漏洞,恶意攻击者可以构造攻击请求绕过FastJSON的黑名单策略。例如,攻击者通过精心构造的请求,远程让服务端执行指定命令(以下示例中成功运行计算器程序)。

影响范围

  • FastJSON 1.2.48以下版本

官方解决方案

升级至FastJSON最新版本,建议升级至1.2.58版本。

说明 强烈建议不在本次影响范围内的低版本FastJSON也进行升级。

升级方法

您可以通过更新Maven依赖配置,升级FastJSON至最新版本(1.2.58版本)。

<dependency>
 <groupId>com.alibaba</groupId>
 <artifactId>fastjson</artifactId>
 <version>1.2.58</version>
</dependency>

防护建议

Web应用防火墙的Web攻击防护规则中已默认配置相应规则防护该FastJSON 0day漏洞,启用Web应用防火墙的Web应用攻击防护功能即可。

说明 如果您的业务使用自定义规则组功能自定义所应用的防护规则,请务必在自定义规则组中添加以下规则:

更多信息

安全管家服务可以为您提供包括安全检测、安全加固、安全监控、安全应急等一系列专业的安全服务项目,帮助您更加及时、有效地应对漏洞及黑客攻击,详情请关注安全管家服务

消息来源:阿里云

展开阅读全文
31 收藏
分享
加载中
精彩评论
最好的建议就是放弃fastjson,转为Jackson
2019-07-12 16:10
27
举报
一个json库为什么能有这些权限
2019-07-12 17:00
10
举报
这个问题都已经修复很久了. Jackson 又不是没有出过问题: https://www.cvedetails.com/vulnerability-list/vendor_id-15866/product_id-34008/Fasterxml-Jackson.html
2019-07-12 17:08
4
举报
唉,上周公司几千个应用连夜升级fastjson,通宵加班
2019-07-13 07:48
2
举报
阿里的软件,是bug挺多; 但是程序员可以跟着一起成长, 可以感受到很多错, 看多了 就会感觉 阿里程序员(写中间件的那批), 差距没那么大了.😅
2019-07-13 05:08
2
举报
最新评论 (25)
升级之后,@JsonProperty和@JsonIgnore注解都失效了 是什么情况?
2019-07-26 16:19
0
回复
举报
是过度设计导致的这些BUG吗?
2019-07-17 21:29
0
回复
举报
fastjson自己都没提这个事
2019-07-15 10:10
0
回复
举报
好像跟这个没关系😊,不管你用不用安全方面没考虑的话这样有这样的漏洞
2019-07-14 17:19
0
回复
举报
哎哟 。。怎么又是这么大的洞啊。。好伤呀 。。
2019-07-14 15:02
0
回复
举报
我還是比較喜歡gson
2019-07-14 10:32
1
回复
举报
您好,为什么java能执行0day漏洞,java库能调用这些吗?
2019-07-14 09:44
1
回复
举报
有没有人知道这个漏洞的恶意JSON代码,拿来学习研究一下。
2019-07-13 09:55
0
回复
举报
github 有poc
2019-07-14 19:32
1
回复
举报
早已弃用
2019-07-13 09:25
0
回复
举报
唉,上周公司几千个应用连夜升级fastjson,通宵加班
2019-07-13 07:48
2
回复
举报
更多评论
25 评论
31 收藏
分享
返回顶部
顶部