zifengyan
commented
2 years ago fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全。 特定依赖存在下影响 ≤1.2.80,请确任下修复计划
Open baxiang opened 2 years ago
zifengyan
commented
2 years ago fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全。 特定依赖存在下影响 ≤1.2.80,请确任下修复计划
VINO42
commented
2 years ago 建议直接抛弃fastjson
VINO42
commented
2 years ago 建议直接抛弃fastjson
老是出漏洞
areyouok
commented
2 years ago 我以后增加一下jackson和fastjson2的支持吧,2.7版本更换默认的key convertor。
版本你可以自己升级的。
当前版本(2.6)jetcache自己只是用了fastjson的序列化,没用反序列化,所以其实不受影响的。
lingcoder
commented
2 years ago 希望能彻底去除fastjson.公司很早就要求排除fastjson的依赖了.只要存在依赖,就可能被用
beetsuan
commented
2 years ago 希望能彻底去除fastjson.公司很早就要求排除fastjson的依赖了.只要存在依赖,就可能被用
大哥在发布的2.6.5中已经支持jackson来序列化了,引用时可以自己排除掉fastjson,不排除的话里面也升级了fastjson到1.2.83
areyouok
commented
2 years ago 希望能彻底去除fastjson.公司很早就要求排除fastjson的依赖了.只要存在依赖,就可能被用
大哥在发布的2.6.5中已经支持jackson来序列化了,引用时可以自己排除掉fastjson,不排除的话里面也升级了fastjson到1.2.83
是这样。其实key convertor和value encoder/decoder都可以自己实现的,非常简单。
fastjson的安全问题都和反序列化都和auto type有关,我想fastjson2不会再有这方面的问题了,jackson其实也有不少安全漏洞的。
下一个版本,我计划同时支持fastjson/fastjson2/jackson,这些依赖依赖都设置为optional,用户自己选择,并自己声明需要的依赖。
zhangshuhua
commented
9 months ago 希望能彻底去除fastjson.公司很早就要求排除fastjson的依赖了.只要存在依赖,就可能被用
大哥在发布的2.6.5中已经支持jackson来序列化了,引用时可以自己排除掉fastjson,不排除的话里面也升级了fastjson到1.2.83
是这样。其实key convertor和value encoder/decoder都可以自己实现的,非常简单。
fastjson的安全问题都和反序列化都和auto type有关,我想fastjson2不会再有这方面的问题了,jackson其实也有不少安全漏洞的。
下一个版本,我计划同时支持fastjson/fastjson2/jackson,这些依赖依赖都设置为optional,用户自己选择,并自己声明需要的依赖。
请教一下大佬,我目前有一个异常,反序列化时会报错com.alibaba.fastjson.JSONException: autoType is not support,可是我配置的序列化和反序列化都是java,为什么会使用fastjson反序列化呢?
https://github.com/alibaba/fastjson/wiki/security_update_20220523