fastjson 1.2.74版本发布,fastjson反序列化漏洞升级

Posted MateCloud微服务

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了fastjson 1.2.74版本发布,fastjson反序列化漏洞升级相关的知识,希望对你有一定的参考价值。

更新说明

fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
但在安全方面fastjson总是被曝出存在反序列化安全漏洞,会造成会服务器的攻击,风险极大。

影响版本

fastjson <=1.2.68
fastjson sec版本 <= sec9
android版本不受此漏洞影响

解决办法

升级至最新版本1.2.74

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.74</version>
</dependency>

1.2.74更新说明

Issues

修复序列化时BeforeFilter/AfterFilter某些场景报空指针异常的问题 #3373 #3475
TypeUtils float/double转换为BigInteger/BigDecimal时判断isNan和isInfinite
支持通过启动参数和fastjson.properties配置fastjson.auto.discoverable, 解决某些场景fastjson与jackson冲突问题
增强对Jdk8日期格式化支持 #3288
修复某些场景对泛型推导不正确的问题 #3448
修复JSONValidator某些场景结果不对的问题 #3453 #3460
序列化增加对org.json.JSONObject的支持

应用项目案例

https://github.com/matevip/matecloud

以上是关于fastjson 1.2.74版本发布,fastjson反序列化漏洞升级的主要内容,如果未能解决你的问题,请参考以下文章

FastJson常见问题

看图说话,FastJson 并没有那么流行!

json demo

TCP连接客户端的方法

用edoc2实现上传和下载

fastjson所有版本都支持jdk1.5吗