TASKCTL 关于 "Fastjson 反序列化远程代码执行漏洞” 的风险通告
致大家
近期,对于 “Fastjson 反序列化远程代码执行漏洞”的安全问题,TASKCTL 已在第一时间高度关注并已启动安全风险的自检治理。我们会持续监控此问题的更新,保障与该漏洞相关的产品安全性,让大家放心使用。
漏洞说明
Fastjson 反序列化远程代码执行漏洞
据国家网络与信息安全信息通报中心监测发现,开源 Java 开发组件 Fastjson 存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。
影响范围
满足以下条件
Fastjson v1.2.80 及之前所有版本
用户漏洞自查
搜索 jar 文件确定 Fastjson 版本号,如果版本号≥v1.2.83,则不受漏洞影响
TASKCTL 漏洞自查
1.taskctl-monitor 监控应用客户端(适应于 TASKCTL v6.0)
如上图:没有使用 alibaba:jackson 组件。
2.taskctl-web 在线应用客户端(适用于 TASKCTL v7.0)
如上图:没有使用 alibaba:jackson 组件。
3.taskctl-web-8.0.010 在线应用客户端(适用于 TASKCTL v8.0)
如上图:没有使用 alibaba:jackson 组件。
最后
TASKCTL 全系 web 应用产品不受该漏洞影响。请大家放心使用。
产品官网:www.taskctl.com
评论