點擊上方?好好學java?，選擇?星標?公眾號

重磅資訊、干貨，第一時間送達 今日推薦：終于放棄了單調的swagger-ui了，選擇了這款神器—knife4j個人原創100W+訪問量博客：點擊前往，查看更多

來源：安全客

https://www.anquanke.com/post/id/207029

0x01 漏洞背景

2020年05月28日， 360CERT監測發現業內安全廠商發布了Fastjson遠程代碼執行漏洞的風險通告，漏洞等級：高危。

Fastjson是阿里巴巴的開源JSON解析庫，它可以解析JSON格式的字符串，支持將Java Bean序列化為JSON字符串，也可以從JSON字符串反序列化到JavaBean。

Fastjson存在遠程代碼執行漏洞，autotype開關的限制可以被繞過，鏈式的反序列化攻擊者精心構造反序列化利用鏈，最終達成遠程命令執行的后果。此漏洞本身無法繞過Fastjson的黑名單限制，需要配合不在黑名單中的反序列化利用鏈才能完成完整的漏洞利用。

截止到漏洞通告發布，官方還未發布1.2.69版本，360CERT建議廣大用戶及時關注官方更新通告，做好資產自查，同時根據臨時修復建議進行安全加固，以免遭受黑客攻擊。

0x02 風險等級

360CERT對該漏洞的評定結果如下

評定方式 等級

威脅等級 【高?！?br />影響面 【廣泛】

0x03 影響版本

Fastjson：<= 1.2.68

0x04 修復建議

臨時修補建議：

• 升級到Fastjson 1.2.68版本，通過配置以下參數開啟 SafeMode 來防護攻擊：ParserConfig.getGlobalInstance().setSafeMode(true);（safeMode會完全禁用autotype，無視白名單，請注意評估對業務影響）

0x05 時間線

2020-05-28 360CERT監測到業內安全廠商發布漏洞通告

2020-05-28 360CERT發布預警

0x06 參考鏈接

https://cloud.tencent.com/announce/detail/1112?from=timeline&isappinstalled=0

官方通告

https://github.com/alibaba/fastjson/releases

最后，再附上我歷時三個月總結的?Java 面試 + Java 后端技術學習指南，這是本人這幾年及春招的總結，目前，已經拿到了大廠offer，拿去不謝！

下載方式

1.?首先掃描下方二維碼

2.?后臺回復「Java面試」即可獲取

《新程序員》：云原生和全面數字化實踐50位技術專家共同創作，文字、視頻、音頻交互閱讀

總結

以上是生活随笔為你收集整理的注意了，Fastjson 最新高危漏洞来袭！的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。