服务热线: 0371-65995777

Fastjson < 1.2.61远程代码执行漏洞预警

文章来源 : 大数据云      发布时间 : 2019/9/22

一、概要

近日,大数据云安全团队关注到业界爆出Fastjson远程代码执行漏洞新的利用方式, FastJson < 1.2.61的版本均受影响,攻击者可通过精心构造的请求包对使用Fastjson的服务器发起请求,获取目标服务器的权限,从而实现未经授权的远程代码执行。

参考链接:

https://github.com/alibaba/fastjson/releases

https://github.com/alibaba/fastjson/commit/05a7aa7f748115018747f7676fd2aefdc545d17a

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、影响范围

漏洞影响的产品版本包括:

Fastjson < 1.2.61

安全版本为:

FastJson 1.2.61

四、处置方案

目前官方已发布最新的1.2.61版本修复了此漏洞,请受影响的用户升级至安全版本。

下载地址: http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.61/

漏洞的利用前提是开启了autoType功能(默认是关闭状态),若用户开启了autoType功能,可通过关闭该功能进行临时规避,具体操作请参考以下两种方法:

1、 在项目源码中找到以下行代码并将其删除。

ParserConfig.getGlobalInstance().setAutoTypeSupport(true);

2、 在JVM中启动项目时,命令行中不添加autoType参数。

-Dfastjson.parser.autoTypeSupport=true

注:修复漏洞前请将资料备份,并进行充分测试。

上一条:将在2020年颠覆企业业务的8项技术 下一条:网站内容设计,建立优质内容池的4个方法