全部产品
云市场

【漏洞公告】Fastjson远程代码执行漏洞

更新时间:2018-03-08 17:00:28

2017年3月15日,Fastjson 官方发布安全公告,该公告介绍fastjson在1.2.24以及之前版本存在代码执行漏洞。恶意攻击者可利用此漏洞进行远程代码执行,并进一步入侵服务器。目前官方已经发布了最新版本,已经成功修复该漏洞。

漏洞详情见下文。


漏洞编号

暂无

漏洞名称

Fastjson远程代码执行漏洞

官方评级

高危

漏洞描述

Fastjson在1.2.24以及之前版本存在代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,Fastjson在反序列化时存在漏洞,可导致远程任意代码执行。

漏洞利用条件和方式

黑客可以远程代码执行来利用该漏洞。

漏洞影响范围

1.2.24及之前版本

漏洞检测确认

使用以下命令,检查Fastjson 版本是否在1.2.24版本内:

  1. lsof | grep fastjson

漏洞修复建议(或缓解措施)

  1. 目前,官方已经发布了最新版本,成功修复该漏洞。建议您采用以下方式将Fastjson升级到1.2.28或者更新版本:

    • 通过 Maven 依赖配置更新,升级至最新版本。
    1. <dependency>
    2. <groupId>com.alibaba</groupId>
    3. <artifactId>fastjson</artifactId>
    4. <version>1.2.28</version>
    5. </dependency>
  2. 开启云盾WAF防护。如果您无法及时升级Fastjson,您可以选用阿里云云盾WAF自动防护。

情报来源

https://github.com/alibaba/fastjson/wiki/security_update_20170315