fastjson 存在远程代码执行 0day 漏洞,建议升级至最新版本

oschina
 oschina
发布于 2019年07月12日
收藏 31

2019年6月22日,阿里云云盾应急响应中心监测到FastJSON存在0day漏洞,攻击者可以利用该漏洞绕过黑名单策略进行远程代码执行。

漏洞名称

FastJSON远程代码执行0day漏洞

漏洞描述

利用该0day漏洞,恶意攻击者可以构造攻击请求绕过FastJSON的黑名单策略。例如,攻击者通过精心构造的请求,远程让服务端执行指定命令(以下示例中成功运行计算器程序)。

影响范围

  • FastJSON 1.2.48以下版本

官方解决方案

升级至FastJSON最新版本,建议升级至1.2.58版本。

说明 强烈建议不在本次影响范围内的低版本FastJSON也进行升级。

升级方法

您可以通过更新Maven依赖配置,升级FastJSON至最新版本(1.2.58版本)。

<dependency>
 <groupId>com.alibaba</groupId>
 <artifactId>fastjson</artifactId>
 <version>1.2.58</version>
</dependency>

防护建议

Web应用防火墙的Web攻击防护规则中已默认配置相应规则防护该FastJSON 0day漏洞,启用Web应用防火墙的Web应用攻击防护功能即可。

说明 如果您的业务使用自定义规则组功能自定义所应用的防护规则,请务必在自定义规则组中添加以下规则:

更多信息

安全管家服务可以为您提供包括安全检测、安全加固、安全监控、安全应急等一系列专业的安全服务项目,帮助您更加及时、有效地应对漏洞及黑客攻击,详情请关注安全管家服务

消息来源:阿里云

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:fastjson 存在远程代码执行 0day 漏洞,建议升级至最新版本
加载中

精彩评论

loyal
loyal
最好的建议就是放弃fastjson,转为Jackson
IdleMan
IdleMan
一个json库为什么能有这些权限
罗格林
罗格林
这个问题都已经修复很久了. Jackson 又不是没有出过问题: https://www.cvedetails.com/vulnerability-list/vendor_id-15866/product_id-34008/Fasterxml-Jackson.html
qbmiller
qbmiller
阿里的软件,是bug挺多; 但是程序员可以跟着一起成长, 可以感受到很多错, 看多了 就会感觉 阿里程序员(写中间件的那批), 差距没那么大了.😅
e
eddylapis
github 有poc

最新评论(22

长白山山长
长白山山长
fastjson自己都没提这个事
MGL_TECH
MGL_TECH
好像跟这个没关系😊,不管你用不用安全方面没考虑的话这样有这样的漏洞
Raynor1
Raynor1
哎哟 。。怎么又是这么大的洞啊。。好伤呀 。。
TGVvbmFyZA
TGVvbmFyZA
我還是比較喜歡gson
开源中国首席罗纳尔多
开源中国首席罗纳尔多
您好,为什么java能执行0day漏洞,java库能调用这些吗?
蓝水晶飞机
蓝水晶飞机
有没有人知道这个漏洞的恶意JSON代码,拿来学习研究一下。
e
eddylapis
github 有poc
淘淘我的小宝宝
淘淘我的小宝宝
早已弃用
听风的小猪
听风的小猪
唉,上周公司几千个应用连夜升级fastjson,通宵加班
qbmiller
qbmiller
阿里的软件,是bug挺多; 但是程序员可以跟着一起成长, 可以感受到很多错, 看多了 就会感觉 阿里程序员(写中间件的那批), 差距没那么大了.😅
冰力
冰力
哈哈哈……jackson?!
返回顶部
顶部