2019 年 6 月 22 日,阿里云云盾应急响应中心监测到 FastJSON 存在 0day 漏洞,攻击者可以利用该漏洞绕过黑名单策略进行远程代码执行。
漏洞名称
FastJSON 远程代码执行 0day 漏洞
漏洞描述
利用该 0day 漏洞,恶意攻击者可以构造攻击请求绕过 FastJSON 的黑名单策略。例如,攻击者通过精心构造的请求,远程让服务端执行指定命令(以下示例中成功运行计算器程序)。
影响范围
官方解决方案
升级至 FastJSON 最新版本,建议升级至 1.2.58 版本。
说明 强烈建议不在本次影响范围内的低版本 FastJSON 也进行升级。
升级方法
您可以通过更新 Maven 依赖配置,升级 FastJSON 至最新版本(1.2.58 版本)。
<dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.58</version> </dependency>
防护建议
Web 应用防火墙的 Web 攻击防护规则中已默认配置相应规则防护该 FastJSON 0day 漏洞,启用 Web 应用防火墙的 Web 应用攻击防护功能即可。
说明 如果您的业务使用自定义规则组功能自定义所应用的防护规则,请务必在自定义规则组中添加以下规则:
更多信息
安全管家服务可以为您提供包括安全检测、安全加固、安全监控、安全应急等一系列专业的安全服务项目,帮助您更加及时、有效地应对漏洞及黑客攻击,详情请关注安全管家服务。
深蓝互联成立于2013年,是一家物联网硬件开发及软件应用服务商,获得多次获得国家高新技术企业资质的企业。深蓝互联专注软硬件技术开发的专业性技术公司。我们从事软硬件开发十年,擅长SaaS 平台开发、APP小程序开发、软硬件结合开发,在视觉识别处理、数据架构、云计算、多线程高并发和集群、数据安全加密和防护方便有很深的技术积累。
我们拥有专业优秀的设计和技术团队,以极具创意的 UI 设计、精湛卓越的开发技术,专业的网络策划团队。公司多年来投入打造物联网SaaS平台,集成了公司研发的多款智能物联网终端(智能鲜米机、生鲜售货机、自助洗车机、小区电瓶车充电系统等)。
公司一直坚持以研发为导向,打造软硬件结合的物联网平台系统。将一直坚持提高开发的技术实力更好的为我们的客户服务!
文章来自深蓝互联http://www.szdbi.com/xinwenzixun/229.html转载请注明出处!