全校各单位:
根据上级部门网络安全预警通报,阿里巴巴公司开源Java开发组件fastjson存在反序列化漏洞,fastjson被众多java软件作为组件集成,广泛存在于java应用的服务端代码中,攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄露等严重影响。经分析研判,在fastjson 1.2.80及之前所有版本均受该漏洞影响。目前,阿里巴巴官方已发布fastjson最新版1.2.83并修复了该漏洞,组件升级地址为:
https://github.com/alibaba/fastjson/releases/tag/1.2.83
请全校各单位高度重视,对本单位信息系统资产进行全面摸排,及时与系统建设第三方公司联系,查验是否使用了该组件。如确使用了该组件的单位请立即按通报内容进行修复,谢谢配合!
西安石油大学网络安全与信息化
工作领导小组办公室
2022年5月26日
