zoukankan      html  css  js  c++  java
  • FastJSON 远程执行漏洞,速速升级!

    640?wx_fmt=jpeg

    相信大家用 FastJSON 的人应该不少,居然有漏洞,还不知道的赶紧往下看,已经知道此漏洞的请略过……


    2019年6月22日,阿里云云盾应急响应中心监测到FastJSON存在0day漏洞,攻击者可以利用该漏洞绕过黑名单策略进行远程代码执行。

    漏洞名称

    FastJSON远程代码执行0day漏洞

    漏洞描述

    利用该0day漏洞,恶意攻击者可以构造攻击请求绕过FastJSON的黑名单策略。例如,攻击者通过精心构造的请求,远程让服务端执行指定命令(以下示例中成功运行计算器程序)。

    640?wx_fmt=png


    影响范围

    FastJSON 1.2.48以下版本

    官方解决方案

    升级至FastJSON最新版本,建议升级至1.2.58版本。

    说明 强烈建议不在本次影响范围内的低版本FastJSON也进行升级。


    升级方法

    您可以通过更新Maven依赖配置,升级FastJSON至最新版本(1.2.58版本)。


    640?wx_fmt=png


    防护建议

    Web应用防火墙的Web攻击防护规则中已默认配置相应规则防护该FastJSON 0day漏洞,启用Web应用防火墙的Web应用攻击防护功能即可。


    说明:如果您的业务使用自定义规则组功能自定义所应用的防护规则,请务必在自定义规则组中添加以下规则:


    640?wx_fmt=png

    还在用低版本的,赶紧升级,顺手转发下给你身边正在用 FastJSON 的小伙伴!640


    参考:help.aliyun.com/document_detail/123431.html


    -END-

    关注Java技术栈微信公众号,在后台回复关键字:Java,可以获取一份栈长整理的 Java 最新技术干货。

    最近干货分享

    Java 8 创建 Stream 的 10 种方式

    不小心执行了 rm -f,先别急着跑路

    IntelliJ IDEA 快捷键终极大全,速度收藏

    Spring Boot 面试,一个问题就干趴下了

    分享一份Java架构师学习资料

    640

    点击「阅读原文」一起搞技术,爽~

  • 相关阅读:
    csp-s模拟110
    csp-s模拟109
    留念
    csp-s 2019 游记
    HEOI2020
    CSP-S2019记
    堆积的$TIPS$
    低错复习
    倍增并查集
    4.26
  • 原文地址:https://www.cnblogs.com/java-stack/p/11952183.html
Copyright © 2011-2022 走看看