亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Fastjson遠程代碼執行漏洞是怎樣的

發布時間:2021-12-13 18:22:22 來源:億速云 閱讀:185 作者:柒染 欄目:大數據

今天就跟大家聊聊有關Fastjson遠程代碼執行漏洞是怎樣的,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結了以下內容,希望大家根據這篇文章可以有所收獲。

0x00 漏洞背景

2020年05月28日, 360CERT監測發現業內安全廠商發布了Fastjson遠程代碼執行漏洞的風險通告,漏洞等級:高危

Fastjson是阿里巴巴的開源JSON解析庫,它可以解析JSON格式的字符串,支持將Java Bean序列化為JSON字符串,也可以從JSON字符串反序列化到JavaBean。

Fastjson存在遠程代碼執行漏洞autotype開關的限制可以被繞過,鏈式的反序列化攻擊者精心構造反序列化利用鏈,最終達成遠程命令執行的后果。此漏洞本身無法繞過Fastjson的黑名單限制,需要配合不在黑名單中的反序列化利用鏈才能完成完整的漏洞利用。

截止到漏洞通告發布,官方還未發布1.2.69版本,360CERT建議廣大用戶及時關注官方更新通告,做好資產自查,同時根據臨時修復建議進行安全加固,以免遭受黑客攻擊。

0x01 風險等級

360CERT對該漏洞的評定結果如下

評定方式等級
威脅等級【高危】
影響面【廣泛】

0x02 影響版本

  • Fastjson:<= 1.2.68

0x03 修復建議

臨時修補建議:

  • 升級到Fastjson 1.2.68版本,通過配置以下參數開啟 SafeMode 來防護攻擊:ParserConfig.getGlobalInstance().setSafeMode(true);safeMode會完全禁用autotype,無視白名單,請注意評估對業務影響)

看完上述內容,你們對Fastjson遠程代碼執行漏洞是怎樣的有進一步的了解嗎?如果還想了解更多知識或者相關內容,請關注億速云行業資訊頻道,感謝大家的支持。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

吉隆县| 泰兴市| 宿州市| 靖州| 武清区| 衡东县| 道真| 巴里| 望奎县| 南康市| 长宁区| 罗平县| 正蓝旗| 谷城县| 保山市| 乐业县| 长宁区| 剑川县| 武城县| 老河口市| 宣武区| 双城市| 巴林左旗| 博爱县| 聂拉木县| 保康县| 阳城县| 乌兰察布市| 中牟县| 清镇市| 长阳| 忻州市| 新昌县| 定南县| 商河县| 靖边县| 沾益县| 集安市| 绥江县| 玉环县| 昌都县|