漏洞介紹
fastjson在1.2.24以及之前版本近日曝出代碼執(zhí)行漏洞，當(dāng)用戶(hù)提交一個(gè)精心構(gòu)造的惡意的序列化數(shù)據(jù)到服務(wù)器端時(shí)，fastjson在反序列化時(shí)存在漏洞，可導(dǎo)致遠(yuǎn)程任意代碼執(zhí)行漏洞。

風(fēng)險(xiǎn)：高風(fēng)險(xiǎn)
方式：黑客通過(guò)利用漏洞可以實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行
影響：1.2.24及之前版本
安全版本：>=1.2.28

修復(fù)方法

1.請(qǐng)將fastjson升級(jí)到1.2.28或者更新版本

<groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.28</version>

直接下載

1.2.28版本下載地址 http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/

常見(jiàn)問(wèn)題

升級(jí)遇到不兼容問(wèn)題怎么辦？

1.2.28已經(jīng)修復(fù)了絕大多數(shù)兼容問(wèn)題，但是總會(huì)有一些特殊的用法導(dǎo)致不兼容，如果你遇到不兼容問(wèn)題，通過(guò) https://github.com/alibaba/fastjson/wiki/incompatible_change_list 查看不兼容問(wèn)題，鏈接的后面提供了遇到不兼容問(wèn)題之后的使用相應(yīng)的sec01版本解決辦法。

升級(jí)之后報(bào)錯(cuò)autotype is not support

安全升級(jí)包禁用了部分autotype的功能，也就是"@type"這種指定類(lèi)型的功能會(huì)被限制在一定范圍內(nèi)使用。如果你使用場(chǎng)景中包括了這個(gè)功能，https://github.com/alibaba/fastjson/wiki/enable_autotype 這里有一個(gè)介紹如何添加白名單或者打開(kāi)autotype功能。

通過(guò)配置打開(kāi)autotype之后是否存在安全漏洞

在1.2.28以及所有的.sec01版本中，有多重保護(hù)，但打開(kāi)autotype之后仍會(huì)存在風(fēng)險(xiǎn)，不建議打開(kāi)，而是使用一個(gè)較小范圍的白名單。

Android環(huán)境使用是否需要升級(jí)

目前未發(fā)現(xiàn)漏洞對(duì)Android系統(tǒng)產(chǎn)生影響，在Android環(huán)境中使用不用升級(jí)。

本文來(lái)自開(kāi)源中國(guó)社區(qū) [http://www.oschina.net]

《新程序員》：云原生和全面數(shù)字化實(shí)踐50位技術(shù)專(zhuān)家共同創(chuàng)作，文字、視頻、音頻交互閱讀

總結(jié)

以上是生活随笔為你收集整理的Fastjson 爆出远程代码执行高危漏洞，更新版本已修复的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。