快讯
罗永浩回应收到限制消费令:已经取消
48分钟前
腾讯正式控股虎牙!直播大战谁是最后赢家?
1小时前
竞价条件放宽广州购车又迎实在福利
1小时前
科大讯飞:不直接开展创投等风险投资业务
1小时前
老白干酒股价创历史新低“河北王”举步维艰
1小时前
网上威尼斯网站被黑提款系统升级维护不给办理怎么办?
1小时前
“风电第一股”自救生变!信披不合规,证监局叫停,距面值退市仅剩5个交易日
1小时前
东兴证券否认推荐瑞幸咖啡是看好“咖啡”产业
2小时前
政策持续加持小微企业六大行去年普惠小微贷超3万亿元
3小时前
澳洲两大超市颁限流令有门店已1次限入8人
3小时前
埃斯顿:公司生产N95口罩机订单情况良好
3小时前
法国烟草制品销量自实施隔离制度以来上涨三分之一
3小时前
一季度预亏,美团割肉助力商家复苏
3小时前
注意!全新奥迪A4L正准备掏空你的钱包
3小时前
在澳门网投遇到提款系统维护财务清算不给出款怎么办?
3小时前
网上365被黑提款系统维护遇到财务清算客服不给出怎么办?
3小时前

Fastjson 1.2.67版本刚刚发布即爆出严重漏洞,华为云WAF可提供防护

2020-03-24 12:05:06 推荐

华为云安全团队监测到,虽然Fastjson 1.2.67版本在3月22日刚刚发布,增强了部分autoType安全黑名单,但仍有部分Gadgets相关类(shiro-core、ignite-jta 、aries.transaction.jms、caucho-quercus)未加入到黑名单中,这些Gadgets可造成Fastjson的反序列化漏洞。攻击者利用特定的请求可以触发远程代码执行,攻击成功可获得服务器的控制权限。

目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。

一、影响的版本范围

Fastjson<=1.2.67的所有版本。

二、防护方案

官方修复版本尚未发布,建议通过以下方式进行规避:

1、华为云WAF已紧急更新了默认规则库,可对该漏洞进行防护,只需将Web基础防护的状态设置为“拦截”模式。

2、关闭autoType(1.2.25版本开始默认关闭autoType),另外建议将JDK升级到最新版本。autoType关闭方法如下:

方法一:

在项目源码中全文搜索如下代码,将此行代码删除:

ParserConfig.getGlobalInstance().setAutoTypeSupport(true);

方法二:

在JVM中启动项目时,切勿添加以下参数:

-Dfastjson.parser.autoTypeSupport=true

关闭autoType后,对于需要使用“@type”能力的场景,采用添加autoType白名单的方式将目标类设为可用。


相关文章

{{news.title}}

{{news.timeFormat}} {{news.author}}

正在加载......