Java组件fastjson存在反序列化漏洞
一、简介说明
据国家网络与信息安全信息通报中心监测发现,阿里巴巴公司开源Java开发组件fastjson存在反序列化漏洞。fastjson被众多java软件作为组件集成,广泛存在于java应用的服务端代码中。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。此次事件影响fastjson1. 2. 80及之前所有版本。
目前,阿里巴巴公司巳发布fastjson最新版本1.2. 83以修复该涌洞,组件升级地址为:https://github.com/alibaba/fastjson/rel eases/tag/1. 2. 83。
-
一是及时排查本行业、本单位受影响情况,在确保安全的前提下修复漏洞、消除隐患,提高网络系统安全防护能力,严防网络攻击事件;
-
二是及时开展系统自查自检和安全加固,提高系统安全防护能力,严防发生网络攻击事件;
-
三是加强安全监测,做好应急处置准备,发生重大网络安全事件要要及时报告上级主管部门和公安机关网安部门。
二、排查工具和流程:
Windows系统下:
- 建议用Everyting进行全磁盘扫描检索。看有没有fastjson低版本包存在。如下图:下载地址:Windows系统文件检索工具 Everything 方便搜索-WindowsServer文档类资源-CSDN下载
- 当然,也可以在代码编辑器里进行搜索,比如用IDEA的同学可以使用dependency analyzer这个插件,对项目的各种包版本号进行确认。其他的编辑器也会有对应的工具
- 还可以进行人工排查。这种方法就是比较浪费时间。
Linux系统下:
- 查看当前目录下的jar包,不包括子目录:ls fastjson-*.jar
-
查看当前目录下的所有jar包,会递归查找所有子目录:find . -iname "*.jar"
当然排查只是过程。最重要的还是要把低版本的包去掉。用maven的就直接在pom.xml 文件里进行修改版本号。然后再重新打包发布到生产环境。
这篇好文章是转载于:学新通技术网
- 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
- 本站站名: 学新通技术网
- 本文地址: /boutique/detail/tanhgjefce
系列文章
更多
同类精品
更多
-
photoshop保存的图片太大微信发不了怎么办
PHP中文网 06-15 -
《学习通》视频自动暂停处理方法
HelloWorld317 07-05 -
word里面弄一个表格后上面的标题会跑到下面怎么办
PHP中文网 06-20 -
Android 11 保存文件到外部存储,并分享文件
Luke 10-12 -
photoshop扩展功能面板显示灰色怎么办
PHP中文网 06-14 -
微信公众号没有声音提示怎么办
PHP中文网 03-31 -
excel下划线不显示怎么办
PHP中文网 06-23 -
excel打印预览压线压字怎么办
PHP中文网 06-22 -
TikTok加速器哪个好免费的TK加速器推荐
TK小达人 10-01 -
怎样阻止微信小程序自动打开
PHP中文网 06-13