Fastjson 远程代码执行漏洞

Fastjson简介
Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法，把JSON Parse的性能提升到极致，是目前Java语言中最快的JSON库。Fastjson接口简单易用，已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。
漏洞概要
2017年3月15日，Fastjson 官方发布安全公告，该公告介绍fastjson在1.2.24以及之前版本存在代码执行漏洞代码执行漏洞，恶意攻击者可利用此漏洞进行远程代码执行，从而进一步入侵服务器，目前官方已经发布了最新版本，最新版本已经成功修复该漏洞。
漏洞详情
漏洞编号: 暂无
漏洞名称: Fastjson远程代码执行漏洞
官方评级: 高危
漏洞描述:
fastjson在1.2.24以及之前版本存在代码执行漏洞，当用户提交一个精心构造的恶意的序列化数据到服务器端时，fastjson在反序列化时存在漏洞，可导致远程任意代码执行漏洞。
漏洞利用条件和方式:
黑客可以远程代码执行成功利用该漏洞。
漏洞影响范围:
1.2.24及之前版本
漏洞检测
检查fastjson 版本是否在1.2.24版本内

ps aux | grep fastjson
POC
暂无
漏洞修复建议(或缓解措施)
目前官方已经发布了最新版本，该版本已经成功修复该漏洞。
阿里云上用户建议采用以下两种方式将fastjson升级到1.2.28或者更新版本：
更新方法如下：
1.Maven 依赖配置更新
通过 maven 配置更新，使用最新版本，如下： 
    com.alibaba
    fastjson
    1.2.28
2.最新版本下载
下载地址：http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/   
情报来源
https://github.com/alibaba/fastjson/wiki/security_update_20170315
 

Fastjson简介
Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法，把JSON Parse的性能提升到极致，是目前Java语言中最快的JSON库。Fastjson接口简单易用，已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。
漏洞概要
2017年3月15日，Fastjson 官方发布安全公告，该公告介绍fastjson在1.2.24以及之前版本存在代码执行漏洞代码执行漏洞，恶意攻击者可利用此漏洞进行远程代码执行，从而进一步入侵服务器，目前官方已经发布了最新版本，最新版本已经成功修复该漏洞。
漏洞详情
漏洞编号: 暂无
漏洞名称: Fastjson远程代码执行漏洞
官方评级: 高危
漏洞描述:
fastjson在1.2.24以及之前版本存在代码执行漏洞，当用户提交一个精心构造的恶意的序列化数据到服务器端时，fastjson在反序列化时存在漏洞，可导致远程任意代码执行漏洞。 本文来自无奈人生安全网
漏洞利用条件和方式:
黑客可以远程代码执行成功利用该漏洞。
漏洞影响范围:
1.2.24及之前版本
漏洞检测
检查fastjson 版本是否在1.2.24版本内

ps aux | grep fastjson
POC
暂无
漏洞修复建议(或缓解措施)
目前官方已经发布了最新版本，该版本已经成功修复该漏洞。
阿里云上用户建议采用以下两种方式将fastjson升级到1.2.28或者更新版本：
更新方法如下：
1.Maven 依赖配置更新
通过 maven 配置更新，使用最新版本，如下： 
    com.alibaba
    fastjson
    1.2.28
2.最新版本下载
下载地址：http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/   
情报来源
https://github.com/alibaba/fastjson/wiki/security_update_20170315
  无奈人生安全网