行業動态

了(le)解最新網絡安全動态及行業資訊

當前位置:首頁>新聞中心>行業動态
全部 5 公司動态 1 行業動态 4

漏洞通(tōng)告:Fastjson遠(yuǎn)程代碼執行漏洞

時(shí)間:2020-07-21   訪問量:4417

Fastjson遠(yuǎn)程代碼執行漏洞

危險等級:高(gāo)

漏洞危害:

Fastjson <=1.2.68全版本存在遠(yuǎn)程代碼執行漏洞,autotype開關的(de)限制可(kě)被繞過,然後鏈式地反序列化(huà)某些原本不能被反序列化(huà)的(de)有安全風險的(de)類,最終達成遠(yuǎn)程命令執行的(de)後果。

影(yǐng)響範圍:

受影(yǐng)響版本:

Fastjson 1.2.68及之前的(de)版本

處置方法:

1、官方補丁

截止公告發布,Fastjson官方暫未發布新版本修複此漏洞,漏洞詳情信息也(yě)未公開。

2、臨時(shí)解決方案

1)     升級Fastjson至1.2.68版本,并配置safeMode。該版本引入了(le)一個(gè)safeMode的(de)配置,配置safeMode後,無論白名單和(hé)黑(hēi)名單,都不支持autoType。

2)     有多(duō)種方式可(kě)以配置safeMode,具體步驟可(kě)參考:

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

3)     推薦采用(yòng)Jackson-databind或者Gson等組件進行替換。


上一篇:沒有了(le)!

下(xià)一篇:漏洞通(tōng)告:Windows SMBv3協議(yì)代碼執行漏洞(CVE-2020-0796)

在線咨詢

點擊這(zhè)裏給我發消息 售前咨詢專員(yuán)

點擊這(zhè)裏給我發消息 售後服務專員(yuán)

在線咨詢

免費通(tōng)話(huà)

24小時(shí)免費咨詢

請輸入您的(de)聯系電話(huà),座機請加區(qū)号

免費通(tōng)話(huà)

微信掃一掃

微信聯系
返回頂部