远程代码执行漏洞
-
Fastjson <= 1.2.68 反序列化远程代码执行漏洞:Fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。 影响版本 fastjson <=1.2.68 fastjson sec版本 <= sec9 安全版本 fastjson >=1.2.69 fastjson sec版本 >= sec10
-
Fastjson版本低于1.2.58远程代码执行漏洞:当应用或系统使用 Fastjson 对由用户可控的 JSON 字符串数据进行解析时,将可能导致远程代码执行的危害。 影响版本:1.2.48以下版本
-
fastjson <= 1.2.80 反序列化任意代码执行漏洞:fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。 影响版本:fastjson≤1.2.80
出现范围
- rocketmq
处理建议
方法一:升级到1.2.83或更新版本,参考: https://github.com/alibaba/fastjson/releases/tag/1.2.83
方法二:fastjson在1.2.68及之后的版本开启safeMode。开启方法可参考 https://github.com/alibaba/fastjson/wiki/fastjson_safemode
方法三:可升级到fastjson v2 ,参考:https://github.com/alibaba/fastjson2/releases
方法四:如果没用到fastjson的话,进行删除。
网友评论