fastjson 存在远程代码执行 0day 漏洞，建议升级至最新版本-低调大师

fastjson 存在远程代码执行 0day 漏洞，建议升级至最新版本

2019-07-12 774

2019年6月22日，阿里云云盾应急响应中心监测到FastJSON存在0day漏洞，攻击者可以利用该漏洞绕过黑名单策略进行远程代码执行。

漏洞名称

FastJSON远程代码执行0day漏洞

漏洞描述

利用该0day漏洞，恶意攻击者可以构造攻击请求绕过FastJSON的黑名单策略。例如，攻击者通过精心构造的请求，远程让服务端执行指定命令（以下示例中成功运行计算器程序）。

影响范围

FastJSON 1.2.48以下版本

官方解决方案

升级至FastJSON最新版本，建议升级至1.2.58版本。

说明强烈建议不在本次影响范围内的低版本FastJSON也进行升级。

升级方法

您可以通过更新Maven依赖配置，升级FastJSON至最新版本（1.2.58版本）。

<dependency>
 <groupId>com.alibaba</groupId>
 <artifactId>fastjson</artifactId>
 <version>1.2.58</version>
</dependency>

防护建议

Web应用防火墙的Web攻击防护规则中已默认配置相应规则防护该FastJSON 0day漏洞，启用Web应用防火墙的Web应用攻击防护功能即可。

说明如果您的业务使用自定义规则组功能自定义所应用的防护规则，请务必在自定义规则组中添加以下规则：

更多信息

安全管家服务可以为您提供包括安全检测、安全加固、安全监控、安全应急等一系列专业的安全服务项目，帮助您更加及时、有效地应对漏洞及黑客攻击，详情请关注安全管家服务。

消息来源：阿里云

微信关注我们

原文链接：https://www.oschina.net/news/108191/fastjson-0day-rce

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

从 Python 之父推特说起，编程语言何时该借用/创造？

编程语言之问：何时该借用，何时该创造？本文原创并首发于公众号【Python猫】，未经授权，请勿转载。原文地址：https://mp.weixin.qq.com/s/OypPwnJ2vX2vJtZRkVa-Ug 6 月 22 日，Python 之父 Guido 发了一条推特，说了 Python 的一则历史故事，他说 elif 是从 C 语言中偷过来的： elif 是“else if”的简写，用于条件判断。当只有两个分支时，我们会写成“if...else...”，当出现更多分支时，我们会写成如下格式： if 判断条件1：做事情1 elif 判断条件2：做事情2 else：做其它事简写而成的 elif 不仅是减少了几个字符，而且由于单一而清晰的用途，它还不会给我们带来理解或使用上的困惑。但是，简写法并不是主流，完整写法才是主流，C 语言中就是采用完整的写法： if(判断条件1) { 做事情1 } else if(判断条件2) { 做事情2 } else { 做其它事 } 没错，C 语言使用的是全拼写法，但是在它的预处理/预编译语句中，还有一个 elif 指令，Guido 所说的...

2019-07-12

733

QuickJS 是一个小型并且可嵌入的 Javascript 引擎，它支持 ES2019 规范，包括模块，异步生成器和代理器。它可选支持数学扩展，例如大整数 (BigInt)，大浮点数 (BigFloat) 以及运算符重载。主要功能轻量而且易于嵌入：只需几个C文件，没有外部依赖，一个 x86 下的简单的“hello world”程序只要 180 KiB。具有极低启动时间的快速解释器：在一台单核的台式 PC 上，大约在 100 秒内运行 ECMAScript 测试套件 56000 次。运行时实例的完整生命周期在不到 300 微秒的时间内完成。几乎完整实现 ES2019 支持，包括：模块，异步生成器和和完整 Annex B 支持 (传统的 Web 兼容性)。通过 100％的 ECMAScript Test Suite 测试。可以将 Javascript 源编译为没有外部依赖的可执行文件。使用引用计数（以减少内存使用并具有确定性行为）的垃圾收集与循环删除。数学扩展：BigInt, BigFloat, 运算符重载, bigint 模式, math 模式. 在 Javas...

2019-07-12

1168

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。