服务公告
fastjson <1.2.51版本远程代码执行漏洞预警
2019-07-11
一、概要
近日,华为云关注到Fastjson 存在反序列化远程代码执行漏洞,可导致直接获取服务器权限,且此漏洞为 17 年 Fastjson 1.2.24 版本反序列化漏洞的延伸利用,危害严重。此漏洞影响版本 < 1.2.51,请受影响的用户尽快升级至安全版本。
官方公告:https://github.com/alibaba/fastjson/wiki/update_faq_20190722
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急。)
三、影响范围
漏洞影响的产品版本包括:fastjson < 1.2.51
安全版本为:fastjson >= 1.2.51
四、处置方案
1)方案一:升级 fastjson,升级到最新版本1.2.58,下载地址:https://github.com/alibaba/fastjson/releases/tag/1.2.58
2)方案二:移除 fastjson,如需使用 json 解析库建议使用 gson 或 jackson-databind 等组件最新版本替换。
注:修复漏洞前请将资料备份,并进行充分测试。
