2019年6月22日����,阿里云云盾應(yīng)急響應(yīng)中心監(jiān)測到FastJSON存在0day漏洞,攻擊者可以利用該漏洞繞過黑名單策略進(jìn)行遠(yuǎn)程代碼執(zhí)行����。
漏洞名稱
FastJSON遠(yuǎn)程代碼執(zhí)行0day漏洞
漏洞描述
利用該0day漏洞,惡意攻擊者可以構(gòu)造攻擊請求繞過FastJSON的黑名單策略����。例如,攻擊者通過精心構(gòu)造的請求�����,遠(yuǎn)程讓服務(wù)端執(zhí)行指定命令(以下示例中成功運(yùn)行計(jì)算器程序)����。
影響范圍
官方解決方案
升級至FastJSON最新版本,建議升級至1.2.58版本����。
說明 強(qiáng)烈建議不在本次影響范圍內(nèi)的低版本FastJSON也進(jìn)行升級����。
升級方法
您可以通過更新Maven依賴配置���,升級FastJSON至最新版本(1.2.58版本)。
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.58</version>
</dependency>
防護(hù)建議
Web應(yīng)用防火墻的Web攻擊防護(hù)規(guī)則中已默認(rèn)配置相應(yīng)規(guī)則防護(hù)該FastJSON 0day漏洞�����,啟用Web應(yīng)用防火墻的Web應(yīng)用攻擊防護(hù)功能即可�。
說明 如果您的業(yè)務(wù)使用自定義規(guī)則組功能自定義所應(yīng)用的防護(hù)規(guī)則,請務(wù)必在自定義規(guī)則組中添加以下規(guī)則:
更多信息
安全管家服務(wù)可以為您提供包括安全檢測�����、安全加固��、安全監(jiān)控�、安全應(yīng)急等一系列專業(yè)的安全服務(wù)項(xiàng)目,幫助您更加及時(shí)�、有效地應(yīng)對漏洞及黑客攻擊,詳情請關(guān)注安全管家服務(wù)��。
