快讯
47家消费电子公司登中国市值500强,蓝思科技用创新战略升至137位
1小时前
直播预告|百度App“宇宙生活指南”为你恶补硬核太空知识
1小时前
聚焦2020VisionChina,百度智能云工业视觉智能平台宣布重磅升级
1小时前
打造具备“职业技能”的行业AI,中国联通加速政企客户数字化转型
2小时前
《命令与征服:重制版》Steam促销打折中折后价119元
2小时前
英国政府竞得破产卫星运营商OneWeb45%股权
2小时前
谷歌收购Fitbit交易引发数据收集担忧
2小时前
滴滴未有轻松时刻:短中长周期面临三大问题
2小时前
Epic决定取消赠送《流放者柯南》官方微博道歉
2小时前
华为:我们数据存储的芯片、算法等都是自己做的,没办法啊
2小时前
特斯拉欲从LG化学获得更多电池供应
2小时前
TikTok在印度遭禁后当地竞争应用大举抢占市场
2小时前
《地平线零之曙光》PC版将于8月7日推出包含本体及DLC内容
2小时前
哪吒汽车全新服务形象“蓝朋友”温情上线
3小时前
腾讯视频进化论:“重稳健”的内容打法与“看长线”的平台战略
3小时前
从B端到C端,透视凤祥股份背后的商业价值
3小时前
《尘埃5》将在PS5主机上提供120帧选项开发者盛赞新手柄
3小时前
赛车竞速类游戏《尘埃5》确认PS5版同样支持120帧
3小时前
中证报、上证报连续发文唱多“真有牛市感觉了!”
4小时前
福田汽车上半年销量同比增长近18%
4小时前
帮腾讯报警的是老干妈,给腾讯最后一丝温暖的是ta!
4小时前
上半年明星股,涨的姿势各有不同,你PICK了吗?|股市演义
4小时前
日产全新骊威进店实拍!双色车身/造型酷似奇骏
4小时前
奥迪新款A4旅行版实拍!下月国内开售/内饰更豪华
4小时前
雷克萨斯新款GX实拍!动力超奔驰GLE/内饰更豪华
4小时前
斯柯达全新明锐进店实拍!年底国产开售/比轩逸大
4小时前
定志砺行乘风破浪东风日产1-6月累计终端销量45万持续正增长再战下半场
5小时前
休闲解谜游戏《Armillo》登陆Steam免费信息出错
5小时前
EPIC喜加一太空探索游戏《荒芜星球》
5小时前
《动物之森》终于更新啦下海摸鱼尽情浪!
5小时前

Fastjson 1.2.67版本刚刚发布即爆出严重漏洞,华为云WAF可提供防护

2020-03-24 12:05:06 推荐

华为云安全团队监测到,虽然Fastjson 1.2.67版本在3月22日刚刚发布,增强了部分autoType安全黑名单,但仍有部分Gadgets相关类(shiro-core、ignite-jta 、aries.transaction.jms、caucho-quercus)未加入到黑名单中,这些Gadgets可造成Fastjson的反序列化漏洞。攻击者利用特定的请求可以触发远程代码执行,攻击成功可获得服务器的控制权限。

目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。

一、影响的版本范围

Fastjson<=1.2.67的所有版本。

二、防护方案

官方修复版本尚未发布,建议通过以下方式进行规避:

1、华为云WAF已紧急更新了默认规则库,可对该漏洞进行防护,只需将Web基础防护的状态设置为“拦截”模式。

2、关闭autoType(1.2.25版本开始默认关闭autoType),另外建议将JDK升级到最新版本。autoType关闭方法如下:

方法一:

在项目源码中全文搜索如下代码,将此行代码删除:

ParserConfig.getGlobalInstance().setAutoTypeSupport(true);

方法二:

在JVM中启动项目时,切勿添加以下参数:

-Dfastjson.parser.autoTypeSupport=true

关闭autoType后,对于需要使用“@type”能力的场景,采用添加autoType白名单的方式将目标类设为可用。


相关文章

{{news.title}}

{{news.timeFormat}} {{news.author}}

正在加载......