fastjson 存在远程代码执行 0day 漏洞,建议升级至最新版本
2019年6月22日,阿里云云盾应急响应中心监测到FastJSON存在0day漏洞,攻击者可以利用该漏洞绕过黑名单策略进行远程代码执行。
漏洞名称
FastJSON远程代码执行0day漏洞
漏洞描述
利用该0day漏洞,恶意攻击者可以构造攻击请求绕过FastJSON的黑名单策略。例如,攻击者通过精心构造的请求,远程让服务端执行指定命令(以下示例中成功运行计算器程序)。
影响范围
- FastJSON 1.2.48以下版本
官方解决方案
升级至FastJSON最新版本,建议升级至1.2.58版本。
说明 强烈建议不在本次影响范围内的低版本FastJSON也进行升级。
升级方法
您可以通过更新Maven依赖配置,升级FastJSON至最新版本(1.2.58版本)。
<dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.58</version> </dependency>
防护建议
Web应用防火墙的Web攻击防护规则中已默认配置相应规则防护该FastJSON 0day漏洞,启用Web应用防火墙的Web应用攻击防护功能即可。
说明 如果您的业务使用自定义规则组功能自定义所应用的防护规则,请务必在自定义规则组中添加以下规则:
更多信息
安全管家服务可以为您提供包括安全检测、安全加固、安全监控、安全应急等一系列专业的安全服务项目,帮助您更加及时、有效地应对漏洞及黑客攻击,详情请关注安全管家服务。
消息来源:阿里云
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
从 Python 之父推特说起,编程语言何时该借用/创造?
编程语言之问:何时该借用,何时该创造? 本文原创并首发于公众号【Python猫】,未经授权,请勿转载。 原文地址:https://mp.weixin.qq.com/s/OypPwnJ2vX2vJtZRkVa-Ug 6 月 22 日,Python 之父 Guido 发了一条推特,说了 Python 的一则历史故事,他说 elif 是从 C 语言中偷过来的: elif 是“else if”的简写,用于条件判断。当只有两个分支时,我们会写成“if...else...”,当出现更多分支时,我们会写成如下格式: if 判断条件1: 做事情1 elif 判断条件2: 做事情2 else: 做其它事 简写而成的 elif 不仅是减少了几个字符,而且由于单一而清晰的用途,它还不会给我们带来理解或使用上的困惑。 但是,简写法并不是主流,完整写法才是主流,C 语言中就是采用完整的写法: if(判断条件1) { 做事情1 } else if(判断条件2) { 做事情2 } else { 做其它事 } 没错,C 语言使用的是全拼写法,但是在它的预处理/预编译语句中,还有一个 elif 指令,Guido 所说的...
- 下一篇
QuickJS,一个小型并且可嵌入的 Javascript 引擎
QuickJS 是一个小型并且可嵌入的 Javascript 引擎,它支持 ES2019 规范,包括模块,异步生成器和代理器。 它可选支持数学扩展,例如大整数 (BigInt),大浮点数 (BigFloat) 以及运算符重载。 主要功能 轻量而且易于嵌入:只需几个C文件,没有外部依赖,一个 x86 下的简单的“hello world”程序只要 180 KiB。 具有极低启动时间的快速解释器: 在一台单核的台式 PC 上,大约在 100 秒内运行 ECMAScript 测试套件 56000 次。运行时实例的完整生命周期在不到 300 微秒的时间内完成。 几乎完整实现 ES2019 支持,包括: 模块,异步生成器和和完整 Annex B 支持 (传统的 Web 兼容性)。 通过 100% 的 ECMAScript Test Suite 测试。 可以将 Javascript 源编译为没有外部依赖的可执行文件。 使用引用计数(以减少内存使用并具有确定性行为)的垃圾收集与循环删除。 数学扩展:BigInt, BigFloat, 运算符重载, bigint 模式, math 模式. 在 Javas...
相关文章
文章评论
共有0条评论来说两句吧...