1. 首页>
  2. 资讯中心

【安全预警】Fastjson <=1.2.60版本远程代码执行漏洞预警

腾讯云 2019年09月20日 浏览2933

    新闻 资讯 腾讯云代理 腾讯云直播申请 游戏上云

摘要:

尊敬的腾讯云客户, 您好:

       近日,腾讯云安全中心监测到Fastjson <=1.2.60版本被曝存在新的远程代码执行漏洞攻击者可利用漏洞构造特定的恶意请求到远程Fastjson服务器,获取主机远程控制权限。
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
 
【漏洞详情】
  Fastjson是阿里巴巴提供的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
 9月18日,安全研究者在Fastjson官方GitHub上提交了针对 Fastjson 反序列化远程命令执行漏洞新利用方式的修复代码,攻击者可以通过此漏洞达到远程控制服务器的目的。
【风险等级】
  高风险
 
【漏洞风险】
  远程代码执行,控制服务器进行恶意操作
 
【影响版本】
  Fastjson <= 1.2.60 版本 

【修复建议】
   截至公告发布,官方暂未发布新版本修复该漏洞,腾讯云安全团队建议您:
   1)关闭autoType功能,详细参考方法如下:
       方法1: 在项目源码中搜索如下代码,找到该行代码并将其删除:
       ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
       方法2: 在JVM中启动项目时,命令行中不添加autoType参数:
       -Dfastjson.parser.autoTypeSupport=true

    2)关注官方最新版本发布情况,在官方发布修复版本后,请升级至最新修复版本,地址:https://github.com/alibaba/fastjson/releases
    3)推荐采用 Jackson-databind 或者 Gson 等组件


【漏洞参考】


相关文章

腾讯云服务器

为企业提供:云服务器/视频/游戏/微信开发/软件/网站/APP…云解决方案

  • QQ群咨询:377986805 咨询电话:15818558013
  • 技术支持:0755-33940501-808 17603077568
  • 产品咨询:0755-33940501-803 15818558013