2019 年 6 月 22 日��,阿里云云盾應(yīng)急響應(yīng)中心監(jiān)測到 FastJSON 存在 0day 漏洞,攻擊者可以利用該漏洞繞過黑名單策略進(jìn)行遠(yuǎn)程代碼執(zhí)行��。
漏洞名稱
FastJSON 遠(yuǎn)程代碼執(zhí)行 0day 漏洞
漏洞描述
利用該 0day 漏洞���,惡意攻擊者可以構(gòu)造攻擊請求繞過 FastJSON 的黑名單策略�。例如�,攻擊者通過精心構(gòu)造的請求,遠(yuǎn)程讓服務(wù)端執(zhí)行指定命令(以下示例中成功運(yùn)行計算器程序)��。
影響范圍
官方解決方案
升級至 FastJSON 最新版本�����,建議升級至 1.2.58 版本����。
說明 強(qiáng)烈建議不在本次影響范圍內(nèi)的低版本 FastJSON 也進(jìn)行升級����。
升級方法
您可以通過更新 Maven 依賴配置�����,升級 FastJSON 至最新版本(1.2.58 版本)����。
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.58</version>
</dependency>
防護(hù)建議
Web 應(yīng)用防火墻的 Web 攻擊防護(hù)規(guī)則中已默認(rèn)配置相應(yīng)規(guī)則防護(hù)該 FastJSON 0day 漏洞���,啟用 Web 應(yīng)用防火墻的 Web 應(yīng)用攻擊防護(hù)功能即可��。
說明 如果您的業(yè)務(wù)使用自定義規(guī)則組功能自定義所應(yīng)用的防護(hù)規(guī)則���,請務(wù)必在自定義規(guī)則組中添加以下規(guī)則:
更多信息
安全管家服務(wù)可以為您提供包括安全檢測、安全加固����、安全監(jiān)控、安全應(yīng)急等一系列專業(yè)的安全服務(wù)項目���,幫助您更加及時�、有效地應(yīng)對漏洞及黑客攻擊,詳情請關(guān)注安全管家服務(wù)����。
