漏洞太多了,一年修了几次fastjson漏洞,几十个服务挨个升级,心累。。
哎,半夜修漏洞
半夜来升级,特来留言。
改名叫BugJson吧
bugjson +1
gson不香吗
应用被发布到了10+个不同的站点,谁能理解因为bugjson漏洞被逼着一个个发布的酸爽吗,周五夜里开始发布到周六凌晨5点, 而且只完成了4个站点
能不能做到动态升级。。
并不是所有问题都需要升级,对于这个要区分两类来看(另外Fastjson是国内一个不错的开源项目,还是应该多包容下)
一、像Fastjson 1.2.47以及之前的版本,是在antotype不开启情况下依然可以利用,这个时候都需要及时修复;
二、1.2.60以上版本之后的几次更新都是antotype黑名单补充加固,目前默认缺省autoType是关闭的,这时候就是基于白名单的。AutoType黑名单的不断补充的话,是给一些特别场景需要的,没有显式打开autoType的用户,不需要因为黑名单的安全原因升级跟随升级。
但是你能确保这个版本不能bypass autotype吗?补丁里不仅仅是黑名单更新,还有白名单变更,而白名单是直接绕过autotype的
bugjson
bugjson
升级回归心累了
装个 OpenRASP 吧
你们升级好歹把问题解决了,我是升级后依然没有解决问题
你们升级好歹把问题解决了,我是升级后依然没有解决问题
换jackson, 不香吗
你们升级好歹把问题解决了,我是升级后依然没有解决问题
换jackson, 不香吗
jackson这货也是半斤八两,漏洞不比fastjson少
你们升级好歹把问题解决了,我是升级后依然没有解决问题
换jackson, 不香吗
jackson这货也是半斤八两,漏洞不比fastjson少
你说的对,jackson半斤八两····
jackjson 又香了
漏洞太多了,一年修了几次fastjson漏洞,几十个服务挨个升级,心累。。
弄一个父pom文件,就可以啊
楼上的那些 你们的依赖不会统一管理吗?
理论上只要是统一管理的,那么改一下版本号,重新发布即可....
应用被发布到了10+个不同的站点,谁能理解因为bugjson漏洞被逼着一个个发布的酸爽吗,周五夜里开始发布到周六凌晨5点, 而且只完成了4个站点
你们升级好歹把问题解决了,我是升级后依然没有解决问题
半夜来升级,特来留言。
改名叫BugJson吧
Most helpful comment
半夜来升级,特来留言。
改名叫BugJson吧