Fastjson: 漏洞太多了

Created on 20 Mar 2020  ·  22Comments  ·  Source: alibaba/fastjson

漏洞太多了,一年修了几次fastjson漏洞,几十个服务挨个升级,心累。。

Most helpful comment

半夜来升级,特来留言。
改名叫BugJson吧

All 22 comments

哎,半夜修漏洞

半夜来升级,特来留言。
改名叫BugJson吧

bugjson +1

gson不香吗

应用被发布到了10+个不同的站点,谁能理解因为bugjson漏洞被逼着一个个发布的酸爽吗,周五夜里开始发布到周六凌晨5点, 而且只完成了4个站点

能不能做到动态升级。。

并不是所有问题都需要升级,对于这个要区分两类来看(另外Fastjson是国内一个不错的开源项目,还是应该多包容下)
一、像Fastjson 1.2.47以及之前的版本,是在antotype不开启情况下依然可以利用,这个时候都需要及时修复;
二、1.2.60以上版本之后的几次更新都是antotype黑名单补充加固,目前默认缺省autoType是关闭的,这时候就是基于白名单的。AutoType黑名单的不断补充的话,是给一些特别场景需要的,没有显式打开autoType的用户,不需要因为黑名单的安全原因升级跟随升级。

但是你能确保这个版本不能bypass autotype吗?补丁里不仅仅是黑名单更新,还有白名单变更,而白名单是直接绕过autotype的

bugjson

bugjson

升级回归心累了

装个 OpenRASP 吧

你们升级好歹把问题解决了,我是升级后依然没有解决问题

你们升级好歹把问题解决了,我是升级后依然没有解决问题

换jackson, 不香吗

你们升级好歹把问题解决了,我是升级后依然没有解决问题

换jackson, 不香吗

jackson这货也是半斤八两,漏洞不比fastjson少

你们升级好歹把问题解决了,我是升级后依然没有解决问题

换jackson, 不香吗

jackson这货也是半斤八两,漏洞不比fastjson少

你说的对,jackson半斤八两····

jackjson 又香了

漏洞太多了,一年修了几次fastjson漏洞,几十个服务挨个升级,心累。。

弄一个父pom文件,就可以啊

楼上的那些 你们的依赖不会统一管理吗?
理论上只要是统一管理的,那么改一下版本号,重新发布即可....

https://github.com/fangjinuo/easyjson
你们需要的是这个

应用被发布到了10+个不同的站点,谁能理解因为bugjson漏洞被逼着一个个发布的酸爽吗,周五夜里开始发布到周六凌晨5点, 而且只完成了4个站点

你需要这个https://github.com/fangjinuo/easyjson

你们升级好歹把问题解决了,我是升级后依然没有解决问题

你需要这个https://github.com/fangjinuo/easyjson

半夜来升级,特来留言。
改名叫BugJson吧

你需要这个https://github.com/fangjinuo/easyjson

Was this page helpful?
0 / 5 - 0 ratings