Fastjson簡介

Fastjson是一個(gè)Java語言編寫的高性能功能完善的JSON庫。它采用一種“假定有序快速匹配”的算法，把JSON Parse的性能提升到極致，是目前Java語言中最快的JSON庫。Fastjson接口簡單易用，已經(jīng)被廣泛使用在緩存序列化、協(xié)議交互、Web輸出、Android客戶端等多種應(yīng)用場景。

漏洞概要

2017年3月15日，Fastjson 官方發(fā)布安全公告，該公告介紹fastjson在1.2.24以及之前版本存在代碼執(zhí)行漏洞代碼執(zhí)行漏洞，惡意攻擊者可利用此漏洞進(jìn)行遠(yuǎn)程代碼執(zhí)行，從而進(jìn)一步入侵服務(wù)器，目前官方已經(jīng)發(fā)布了最新版本，最新版本已經(jīng)成功修復(fù)該漏洞。

漏洞詳情

漏洞編號:暫無

漏洞名稱:Fastjson遠(yuǎn)程代碼執(zhí)行漏洞

官方評級:高危

漏洞描述:

fastjson在1.2.24以及之前版本存在代碼執(zhí)行漏洞，當(dāng)用戶提交一個(gè)精心構(gòu)造的惡意的序列化數(shù)據(jù)到服務(wù)器端時(shí)，fastjson在反序列化時(shí)存在漏洞，可導(dǎo)致遠(yuǎn)程任意代碼執(zhí)行漏洞。

漏洞利用條件和方式:

黑客可以遠(yuǎn)程代碼執(zhí)行成功利用該漏洞。

漏洞影響范圍:

1.2.24及之前版本

漏洞檢測

檢查fastjson 版本是否在1.2.24版本內(nèi)

ps?aux?|?grep?fastjson

POC

暫無

WAF檢測辦法

檢測post內(nèi)容中是否包含如下字符

"@type"

漏洞修復(fù)建議(或緩解措施)

目前官方已經(jīng)發(fā)布了最新版本，該版本已經(jīng)成功修復(fù)該漏洞。

阿里云上用戶建議采用以下兩種方式將fastjson升級到1.2.28或者更新版本：

更新方法如下：

1.Maven 依賴配置更新

通過 maven 配置更新，使用最新版本，如下：

com.alibaba

fastjson

1.2.28

2.最新版本下載

3.云盾WAF防護(hù)

如果您無法及時(shí)升級fastjson，您可以選用阿里云云盾WAF自動防護(hù)。

情報(bào)來源

總結(jié)

以上是生活随笔為你收集整理的android fastjson漏洞_【漏洞预警】Fastjson 远程代码执行漏洞(暂无PoC)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。