绝色狂妃仙魅小说,有声小说打包下载,古风名字

Fastjson 反序列化漏洞通告

發(fā)布日期：2022-5-23

漏洞描述

Fastjson由阿里巴巴開發(fā)的開源JSON解析庫，由JAVA語言編寫。Fastjson可以解析JSON格式的字符串，支持將Java Bean序列化為JSON字符串，也可以從JSON字符串反序列化到JavaBean。由于具有執(zhí)行效率高的特點(diǎn)，應(yīng)用范圍廣泛。

對此，禹宏信安建議廣大用戶及時(shí)將Fastjson升級到最新版本。與此同時(shí)，請做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

漏洞編號

暫無

漏洞危害

在Fastjson 1.2.80及以下版本中存在反序列化漏洞，攻擊者可以在特定條件下繞過默認(rèn)autoType關(guān)閉限制，從而反序列化有安全風(fēng)險(xiǎn)的類。該漏洞允許遠(yuǎn)程攻擊者在目標(biāo)機(jī)器上執(zhí)行任意代碼。

漏洞等級

高危

受影響版本

Fastjson≤1.2.80

修復(fù)方案

目前官方已在最新版本1.2.83中修復(fù)了該漏洞，請受影響的用戶盡快升級版本進(jìn)行防護(hù)，官方下載鏈接：

https://github.com/alibaba/fastjson/releases

升級步驟如下：

1.備份原fastjson依賴庫，避免升級失敗的情況發(fā)生。

2.將低版本的fastjson庫替換為1.2.83版本。

臨時(shí)防護(hù)措施

若相關(guān)用戶暫時(shí)無法進(jìn)行升級操作，也可使用下列方式進(jìn)行緩解：

由于autotype開關(guān)的限制可被繞過，請受影響用戶升級fastjson至1.2.68及以上版本，通過開啟safeMode配置完全禁用autoType。

參考鏈接

https://github.com/alibaba/fastjson/wiki/security_update_20220523

漏洞播報(bào)