1.2.6升级到1.2.58需要注意什么？

alibaba / fastjson

FASTJSON 2.0.x has been released, faster and more secure, recommend you upgrade.

https://github.com/alibaba/fastjson2/wiki/fastjson_1_upgrade_cn

Apache License 2.0

25.76k stars 6.5k forks source link

1.2.6升级到1.2.58需要注意什么？ #2499

Open chenjinlun opened 5 years ago

chenjinlun commented 5 years ago

1.2.6的版本有0day的漏洞，请问一下1.2.6升级到1.2.58需要注意什么？

wenshao commented 5 years ago

已知兼容问题都修复过的，这里有一个不兼容列表： https://github.com/alibaba/fastjson/wiki/incompatible_change_list 遇到问题发issue或者各种方式联系，我会提供支持

钉钉号 wenshaojin2017 微信号 wenshaojin 微博 http://weibo.com/wengaotie

ghost commented 5 years ago

【漏洞预警】fastjson javaweb框架0day漏洞影响版本：1.2.30以下，以及1.2.41到1.2.45版本存在漏洞（包括不在本次0day版本范围内的低版本默认开启了autoType功能）处理建议：升级到最新：1.2.58以上版本，并关闭autoType功能。漏洞影响：利用fastjson javaweb框架可以在json中通过@type指定类进行自动实例化，构造相应代码，发送给存在fastjson处理的模块就会造成远程代码执行。

ghost commented 5 years ago

这个autoType关闭在哪里关闭？请教下

19940308cai commented 5 years ago

1.2.6 版本有漏洞吗？看到的漏洞影响范围貌似不存在1.2.6