9
一脸懵逼的让升级fastjson,所有项目中fastjson版本小于1.2.51的都必须升级,这个到底是什么漏洞,怎么复现?作者能简单解说下吗,谢谢?
Q
[alibaba/fastjson]fastjson1.2.51版本的远程代码执行漏洞,到底是什么?
A
回答
7
第二次升级了,懵逼
7
我也不不知道啊,也不敢问
1
来说明下这个洞,fastjson目前流传的有两个洞比较厉害, 一、fastjson版本<1.2.25,rce可以远程直接获取服务器权限 (参考:https://github.com/alibaba/fastjson/wiki/security_update_20170315) 二、fastjson版本<1.2.51(本次需要升级事项) 目前安全市面利用poc已经公开(公开的利用脚本影响version<1.2.48),利用脚本可以远程直接获取服务器权限,目前黑产已经开始批量获取webshell开始搞了。 (参考链接:官方持续拒绝发布公开文档说明次安全升级工作),猜测可能阿里内部未完成升级工作,所以暂时不公开文档说明。 本次的漏洞版本<1.2.51,影响相当广,已知多个国内Top N的互联网公司均遭到这个漏洞的web入侵事件。
8
除了升级,有别的缓解措施么? 因为服务器不在阿里云,无法用WAF防护,服务器比较多,短期内升级完毕也不太现实,有啥办法可以缓解的吗?
0
那你们平时新版本上线怎么弄 没有智能发版么
5
是不是用docker就安全了呢?