Fastjson 安全更新,建议升级到 1.2.28 或更新版本

标签: 软件更新新闻 | 发表时间:2017-03-15 10:42 | 作者:
出处:http://www.oschina.net/?from=rss

安全升级公告

最近发现 fastjson 在 1.2.24 以及之前版本存在高危安全漏洞,为了保证系统安全,请升级到 1.2.28 或者更新版本。

更新方法

1. Maven 依赖配置更新

通过 maven 配置更新,使用最新版本,如下:

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.28</version>
</dependency>

2. 直接下载

1.2.28版本下载地址  http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/

常见问题

1. 升级遇到不兼容问题怎么办?

1.2.28 已经修复了绝大多数兼容问题,但是总会有一些特殊的用法导致不兼容,如果你遇到不兼容问题,通过  https://github.com/alibaba/fastjson/wiki/incompatible_change_list 查看不兼容问题,链接的后面提供了遇到不兼容问题之后的使用相应的 sec01 版本解决办法。

2. 升级之后报错 autotype is not support

安全升级包禁用了部分 autotype 的功能,也就是 "@type" 这种指定类型的功能会被限制在一定范围内使用。如果你使用场景中包括了这个功能, https://github.com/alibaba/fastjson/wiki/enable_autotype 这里有一个介绍如何添加白名单或者打开 autotype 功能。

3. 通过配置打开 autotype 之后是否存在安全漏洞

在 1.2.28 以及所有的 .sec01 版本中,有多重保护,但打开 autotype 之后仍会存在风险,不建议打开,而是使用一个较小范围的白名单。

4. Android环境使用是否需要升级

目前未发现漏洞对 Android 系统产生影响,在 Android 环境中使用不用升级。

来自: https://github.com/alibaba/fastjson/wiki/security_update_20170315

相关 [fastjson 安全 更新] 推荐:

Fastjson 安全更新,建议升级到 1.2.28 或更新版本

- - 开源中国社区最新新闻
最近发现 fastjson 在 1.2.24 以及之前版本存在高危安全漏洞,为了保证系统安全,请升级到 1.2.28 或者更新版本. 通过 maven 配置更新,使用最新版本,如下:. 1.2.28版本下载地址  http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/.

fastjson发布1.1.0版本

- tangfl - ITeye论坛最新精华讨论帖
这个版本引入了asm优化encode和decode的性能,使用了新的预测读取优化算法,大幅度提升了decode的性能. 这个版本没有bug fixed. [FASTJSON-51] - 提供按字段名称顺序输出,具体信息 http://code.alibabatech.com/wiki/pages/viewpage.action?pageId=3637285.

fastjson初始化对性能的影响(转)

- - 移动开发 - ITeye博客
       转自:http://kane-xie.iteye.com/blog/2223837.        之前在项目中序列化是用thrift,性能一般,而且需要用编译器生成新的类,在序列化和反序列化的时候感觉很繁琐,因此想转到json阵营. 对比了jackson,gson等框架之后,决定用fastjson,为什么呢,因为看名字感觉很快.

Mozilla Firefox 6.0.1 安全更新发布

- 宇 - cnBeta.COM
Mozilla今天下午发布了Firefox最新版6.0.1,本次更新主要是为了修正昨晚爆出的DigiNotar SSL证书欺诈问题,使用该版本可以规避来自黑客的伪造身份攻击,避免在访问类似GMail等网站时出现身份被窃取.

Debian / Ubuntu 只安裝安全更新的方法

- MorrisC - Jamyy&#39;s Weblog
讓 apt-get upgrade 只安裝安全更新. 參考資料: package management - How can I install just security updates from the command line.

Apache Traffic Server 5.1.1 发布,重要安全更新

- - 开源中国社区最新新闻
Apache Traffic Server 5.1.1 发布. 此版本现已提供下载( http://trafficserver.apache.org/downloads),是最新的稳定版本. 5.0.x 系列到 5.1.0 的升级是无缝升级,升级指导请看这里: https://cwiki.apache.org/confluence/display/TS/Upgrading+to+v5.0.

谁更安全?

- iceman.yu - 比特客栈的文艺复兴
原文:The triumph of coal marketing – Seth Godin. 翻译+整理:David Frank. 你对核能发电是不是也有一些看法. 相比其他的发电方式,它们谁更安全. 数据来自这里,图片来自这里,上图是一幅毫不夸张的数据简化图. 同样的发电量,每当核能发电误杀一个人,煤炭发电会导致4,000人的死亡.

网络安全

- - CSDN博客系统运维推荐文章
1、防止入侵者对主机进行ping探测,可以禁止Linux主机对ICMP包的回应.  iptables 防火墙上禁止ICMP应答.  关闭不必要的端口,时常检查网络端口情况.  nmap  可以扫描端口.  关闭不必要的服务和端口.  为网络服务指定非标准的端口.  开启防火墙,只允许授权用户访问相应的服务端口.

安全机制

- - 开源软件 - ITeye博客
ActiveMQ中所有安全相关的概念都是通过插件的形式实现的.这样可以通过ActiveMQ的XML. 配置文件的元素来简化配置和自定义安全认证机制.ActiveMQ提供两种认证方式:.     简单认证插件 -- 直接通过XML配置文件或者属性文件处理认证.     JAAS认证插件 -- 实现了JAAS API,提供一种更强大的可自定义的认证解决方案.

Memcached安全性

- - xiaobaoqiu Blog
1.Memcached -l参数. 1.Memcached -l参数. 最近整理了组内使用的Memcached. 发现很多问题,其中一个问题就是开发机器测试机器可以直连线上的Memcached. 这也是memcached公认的问题:memcached 是一种很简单、有效的协议,但也有其缺点,就是 memcached 自身没有 ACL 控制(或者相当弱).