IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

【预警通告】fastjson远程代码执行漏洞

发布时间:2017-03-18 17:00文章来源:互联网文章作者: 佚名点击次数:
阅读: 29 2017年3月15日,fastjson官方发布安全公告表示fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 fastjson官方建议直接升级到1.2.28/1.2.29或者更新版本来保证系统安全。 相关链接:h
阅读: 29

2017年3月15日,fastjson官方发布安全公告表示fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器

fastjson官方建议直接升级到1.2.28/1.2.29或者更新版本来保证系统安全

相关链接:https://github.com/alibaba/fastjson/wiki/security_update_20170315

文章目录

  • 什么是fastjson
  • 影响的版本
  • 不受影响的版本
  • 检测与修复方法
    • 声?明
    • 关于绿盟科技

什么是fastjson

fastjson是一款用Java语言编写的高性能功能完善的JSON库。由于其独特的算法,fastjson的parse速度极快,超越了所有json库,包括曾经号称最快的jackson以及Google的二进制协议protocol buf。fastjson还是官方收录的参考实现之一,完全支持http://json.org的标准。除此之外,fastjson还支持各种JDK类型包括JavaBean,Map,Enum,泛型等,而且不需要额外的jar,能够直接跑在JDK上。fastjson支持JDK 5, JDK 6,Android,阿里云手机等环境。

影响的版本

  • fastjson <= 1.2.24

不受影响的版本

  • fastjson > 1.2.24

注:官方表示版本大于1.2.24但是小于1.2.28的版本虽然为fastjson的过渡版本,但是不受此漏洞影响,因此不必升级。

检测与修复方法

  1. 利用阿里官方提供的WAF检测

可以用以下命令检测post内容中是否包含字符:

1"@type"

注:添加双引号可以减少误报。

  1. 命令行检测当前使用版本是否存在问题:


【预警通告】fastjson远程代码执行漏洞
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/netsafe/xitong/803031.html

标签分类:

上一篇:上一篇:微软 Windows 10 也要防ATP了
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量