fastjson曝出代码执行漏洞，恶意用户可利用此漏洞进行远程代码执行，入侵服务器，漏洞评级为“高危”。

 

风险：高风险

方式：黑客通过利用漏洞可以实现远程代码执行

影响：1.2.24及之前版本

安全版本：>=1.2.28

 

集团强制要求更新jar包版本，然后各个系统出现各种错误

参考：https://www.cnblogs.com/shoren/p/fastjson.html

参考：https://www.v2ex.com/t/348227

参考：https://blog.csdn.net/weixin_34049948/article/details/85203048

参考：https://blog.csdn.net/heidou_2016/article/details/89210436

以上都看了一下

因为自身项目特殊性，controller层和service层这两层分别部署在不同的服务器，所以问题和上面都不一样

但是看出来了，是有关序列化和反序列化的问题，因为无论service层还是controller层都没有问题，本地开发环境也没有问题，只有到了两台测试服务器（controller，services分层），就发现service层返回的结果list<Map(String,Object)>正确，但是controller却取不到，

list 集合因为没有实现序列化接口，高版本fastJson 反序列化（无论JSON.parseObjet还是JSON.parseArray）都不行，所以不同服务器调用有问题，

 

目前个人最快的解决方法：原来的list<Map(String,Object)> 类型 直接改成 String 类型，然后返回给前台

因为接口太多，现在能想到的无论哪种改法都是大工作量，非常希望各位大佬，给出其他更好的思路 0v0

 

 

fastjson 版本漏洞升级提示

 

漏洞情报：fastjson <1.2.67 反序列化远程代码执行漏洞

漏洞介绍：近日，阿里云应急响应中心监测到fastjson官方git披露fastjson存在最新反序列化远程代码执行漏洞攻击Gadgets，利用该最新的Gadgets，攻击者可远程执行服务器任意命令，或者造成SSRF漏洞，风险较大。官方已发布最新版本1.2.67修复该漏洞，请使用到fastjson的用户尽快升级至安全版本。

漏洞等级：高危

 

漏洞描述

常用JSON组件FastJson存在远程代码执行漏洞，攻击者可通过精心构建的json报文对目标服务器执行任意命令，从而获得服务器权限。此次爆发的漏洞为以往漏洞中autoType的绕过。

影响范围

FastJson < 1.2.67

 

漏洞描述

利用该0day漏洞，恶意攻击者可以构造攻击请求绕过FastJSON的黑名单策略。例如，攻击者通过精心构造的请求，远程让服务端执行指定命令（以下示例中成功运行计算器程序）。

 

升级方式：

1.使用maven方式管理jar包 找到项目中的pom文件中找到 fastjson.version标签 更换标签中版本号，重新打包，既可以升级。



2. 使用非maven方式管理的jar 在代码路径中WEB-INF/lib目录下 找到fastjson jar包 并做替换。

更新说明
fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。

但在安全方面fastjson总是被曝出存在反序列化安全漏洞，会造成会服务器的攻击，风险极大。


影响版本
fastjson <=1.2.68

fastjson sec版本 <= sec9

android版本不受此漏洞影响
解决办法
升级至最新版本1.2.74
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.74</version>
</dependency>

1.2.74更新说明
Issues
修复序列化时BeforeFilter/AfterFilter某些场景报空指针异常的问题 #3373 #3475

TypeUtils float/double转换为BigInteger/BigDecimal时判断isNan和isInfinite

支持通过启动参数和fastjson.properties配置fastjson.auto.discoverable, 解决某些场景fastjson与jackson冲突问题

增强对Jdk8日期格式化支持 #3288

修复某些场景对泛型推导不正确的问题 #3448

修复JSONValidator某些场景结果不对的问题 #3453 #3460

序列化增加对org.json.JSONObject的支持
应用项目案例
https://github.com/matevip/matecloud

                
                    

                    

                    
                    
                    
Struts2 是业界有名的漏洞之王，Fastjson 近来也不甘示弱，连续被爆出了非常多的漏洞，吓的像我这样的老程序员都不敢使用了！拼实力坑爹，Fastjson 当仁不让！
近日，Fastjson发布了最新1.2.67版本，经过内部安全人员分析研究，本次发布属于重大安全问题更新，小于1.2.67版本的Fastjson存在远程代码执行漏洞，可导致直接获取服务器权限。该漏洞利用门槛低，漏洞利用原理可能会被短时间内研究并公开，风险影响范围较大。在公众号互联网架构师后台回复：2T，可以获取架构师视频整套系统教程。
漏洞影响范围：
Fastjson version < 1.2.67
修复方案：
建议升级Fastjson版本到1.2.67
快扩散！快升级吧
相关阅读：纳尼？你居然还在使用fastjson，性能太差了，这个新出的秒杀fastjson
推荐阅读 ↓↓↓
1.不认命，从10年流水线工人，到谷歌上班的程序媛，一位湖南妹子的励志故事
2.如何才能成为优秀的架构师？
3.从零开始搭建创业公司后台技术栈
4.“37岁，985毕业，年薪50万，被裁掉只用了10分钟”
5.37岁程序员被裁，120天没找到工作，无奈去小公司，结果懵了...
6.副业&接私活必备的 10 个开源项目！
7.你知道哪10大算法统治着全球吗？
8.15张图看懂瞎忙和高效的区别！