fastjson 1.2.74版本发布,fastjson反序列化漏洞升级
Posted MateCloud微服务
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了fastjson 1.2.74版本发布,fastjson反序列化漏洞升级相关的知识,希望对你有一定的参考价值。
更新说明
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
但在安全方面fastjson总是被曝出存在反序列化安全漏洞,会造成会服务器的攻击,风险极大。
影响版本
fastjson <=1.2.68
fastjson sec版本 <= sec9
android版本不受此漏洞影响
解决办法
升级至最新版本1.2.74
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.74</version>
</dependency>
1.2.74更新说明
Issues
修复序列化时BeforeFilter/AfterFilter某些场景报空指针异常的问题 #3373 #3475
TypeUtils float/double转换为BigInteger/BigDecimal时判断isNan和isInfinite
支持通过启动参数和fastjson.properties配置fastjson.auto.discoverable, 解决某些场景fastjson与jackson冲突问题
增强对Jdk8日期格式化支持 #3288
修复某些场景对泛型推导不正确的问题 #3448
修复JSONValidator某些场景结果不对的问题 #3453 #3460
序列化增加对org.json.JSONObject的支持
应用项目案例
https://github.com/matevip/matecloud
以上是关于fastjson 1.2.74版本发布,fastjson反序列化漏洞升级的主要内容,如果未能解决你的问题,请参考以下文章