DBMNG数据库管理与应用

书籍是全世界的营养品。生活里没有书籍,就好像没有阳光;智慧里没有书籍,就好像鸟儿没有翅膀。
当前位置:首页 > 网文摘录 > 行业新闻

Fastjson 安全更新,建议升级到 1.2.28 或更新版本

安全升级公告:最近发现 fastjson 在 1.2.24 以及之前版本存在高危安全漏洞,为了保证系统安全,请升级到 1.2.28 或者更新版本。
更新方法
1. Maven 依赖配置更新
通过 maven 配置更新,使用最新版本,如下:
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.28</version>
</dependency>
2. 直接下载
1.2.28版本下载地址 http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/

常见问题
1. 升级遇到不兼容问题怎么办?
1.2.28 已经修复了绝大多数兼容问题,但是总会有一些特殊的用法导致不兼容,如果你遇到不兼容问题,通过 https://github.com/alibaba/fastjson/wiki/incompatible_change_list 查看不兼容问题,链接的后面提供了遇到不兼容问题之后的使用相应的 sec01 版本解决办法。

2. 升级之后报错 autotype is not support
安全升级包禁用了部分 autotype 的功能,也就是 "@type" 这种指定类型的功能会被限制在一定范围内使用。如果你使用场景中包括了这个功能,https://github.com/alibaba/fastjson/wiki/enable_autotype 这里有一个介绍如何添加白名单或者打开 autotype 功能。

3. 通过配置打开 autotype 之后是否存在安全漏洞
在 1.2.28 以及所有的 .sec01 版本中,有多重保护,但打开 autotype 之后仍会存在风险,不建议打开,而是使用一个较小范围的白名单。

4. Android环境使用是否需要升级
目前未发现漏洞对 Android 系统产生影响,在 Android 环境中使用不用升级。


来自:https://github.com/alibaba/fastjson/wiki/security_update_20170315
本站文章内容,部分来自于互联网,若侵犯了您的权益,请致邮件chuanghui423#sohu.com(请将#换为@)联系,我们会尽快核实后删除。
Copyright © 2006-2023 DBMNG.COM All Rights Reserved. Powered by DEVSOARTECH            豫ICP备11002312号-2

豫公网安备 41010502002439号