欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 2922|回复: 0

[安全通知] 关于Fastjson远程代码执行漏洞安全预警通知

[复制链接]

201

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
31080
威望
12873
发表于 2017-12-15 12:01:18 |显示全部楼层
尊敬的腾讯云客户:
   您好,近日,腾讯云安全中心监测到Fastjson被曝3月修补措施方案存在绕过风险,攻击者利用可实现远程代码执行
        为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】
   Fastjson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,被广泛使用在包括cache存储、RPC通讯、MQ通讯、网络协议通讯、Android客户端、Ajax服务器处理程序等场景。
   Fastjson在今年3月份曝出一个远程代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,Fastjson在反序列化时存在漏洞,可导致远程任意代码执行,官方随后通过默认关闭autotype功能和开启黑名单修复了该漏洞,但近日研究人员在开启autotype功能后可以通过改变相关类名来绕过黑名单,从而导致漏洞风险仍然存在。

【风险等级】
   高风险

【漏洞风险】
   远程代码执行

【影响版本】
  1.2.24及之前版本

【安全版本】
   1.2.28/1.2.29/1.2.30/1.2.31或者更新版本

【修复建议】
   如果您Fastjson服务为官方源码方式安装,建议您参照上述【安全版本】升级到对应的最新版本。

【漏洞参考】
https://github.com/alibaba/fastjson/wiki/security_update_20170315


2017/12/15

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-7-16 16:40 , Processed in 1.205757 second(s), 30 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部