jetcache fastjson 1.2.80及以下存在新的风险,希望升级fastjson版本

ntjbwcob  于 4个月前  发布在  其他
关注(0)|答案(8)|浏览(126)
rdlzhqv9

rdlzhqv91#

fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全。
特定依赖存在下影响 ≤1.2.80,请确任下修复计划

e4yzc0pl

e4yzc0pl2#

建议直接抛弃fastjson

okxuctiv

okxuctiv3#

建议直接抛弃fastjson

老是出漏洞

hivapdat

hivapdat4#

我以后增加一下jackson和fastjson2的支持吧,2.7版本更换默认的key convertor。

版本你可以自己升级的。

当前版本(2.6)jetcache自己只是用了fastjson的序列化,没用反序列化,所以其实不受影响的。

2o7dmzc5

2o7dmzc55#

希望能彻底去除fastjson.公司很早就要求排除fastjson的依赖了.只要存在依赖,就可能被用

ma8fv8wu

ma8fv8wu6#

希望能彻底去除fastjson.公司很早就要求排除fastjson的依赖了.只要存在依赖,就可能被用

大哥在发布的2.6.5中已经支持jackson来序列化了,引用时可以自己排除掉fastjson,不排除的话里面也升级了fastjson到1.2.83

l3zydbqr

l3zydbqr7#

希望能彻底去除fastjson.公司很早就要求排除fastjson的依赖了.只要存在依赖,就可能被用

大哥在发布的2.6.5中已经支持jackson来序列化了,引用时可以自己排除掉fastjson,不排除的话里面也升级了fastjson到1.2.83

是这样。其实key convertor和value encoder/decoder都可以自己实现的,非常简单。

fastjson的安全问题都和反序列化都和auto type有关,我想fastjson2不会再有这方面的问题了,jackson其实也有不少安全漏洞的。

下一个版本,我计划同时支持fastjson/fastjson2/jackson,这些依赖依赖都设置为optional,用户自己选择,并自己声明需要的依赖。

g9icjywg

g9icjywg8#

希望能彻底去除fastjson.公司很早就要求排除fastjson的依赖了.只要存在依赖,就可能被用

大哥在发布的2.6.5中已经支持jackson来序列化了,引用时可以自己排除掉fastjson,不排除的话里面也升级了fastjson到1.2.83

是这样。其实key convertor和value encoder/decoder都可以自己实现的,非常简单。

fastjson的安全问题都和反序列化都和auto type有关,我想fastjson2不会再有这方面的问题了,jackson其实也有不少安全漏洞的。

下一个版本,我计划同时支持fastjson/fastjson2/jackson,这些依赖依赖都设置为optional,用户自己选择,并自己声明需要的依赖。

请教一下大佬,我目前有一个异常,反序列化时会报错com.alibaba.fastjson.JSONException: autoType is not support,可是我配置的序列化和反序列化都是java,为什么会使用fastjson反序列化呢?

相关问题