关于开源JSON解析库 fastjson <1.2.51版本远程代码执
|
2019-05-17
近日,腾讯云安全中心 监测到 开源JSON解析库 fastjson <1.2.51版本被爆存在远程代码执行漏洞,该漏洞被攻击者利用可造成服务器被入侵和业务数据被窃取,目前漏洞已有在野利用。
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
当用户提交一个精心构造的恶意数据到服务器端,fastjson在反序列化解析该数据时触发漏洞,导致服务器远程任意代码执行
【风险等级】
高风险
【漏洞风险】
远程代码执行
当用户提交一个精心构造的恶意数据到服务器端,fastjson在反序列化解析该数据时触发漏洞,导致服务器远程任意代码执行
【风险等级】
高风险
【漏洞风险】
远程代码执行
【影响版本】
fastjson version < 1.2.51
fastjson version < 1.2.51
【安全版本】
fastjson version >= 1.2.51
fastjson version >= 1.2.51
【修复建议】
1)方案一:升级 fastjson,升级到最新版本1.2.58,下载地址:https://github.com/alibaba/fastjson/releases/tag/1.2.58
2)方案二:移除 fastjson,如需使用 json 解析库建议使用 gson 或 jackson-databind 等组件最新版本替换。
3)方案三:如果您无法采取方案一和方案二,您可以选用腾讯云Web应用防火墙 AI 防护功能,进行检测和防御。产品链接:https://cloud.tencent.com/product/waf
【漏洞参考】
1)官方通告:https://github.com/alibaba/fastjson/wiki/update_faq_20190722
编辑:航网科技 来源:深圳航网科技有限公司 本文版权归原作者所有 转载请注明出处
关注我们
微信扫一扫关注我们
推荐阅读
