Fastjson 安全更新,建议升级到 1.2.28 或更新版本

标签: 软件更新新闻 | 发表时间:2017-03-15 10:42 | 作者:
分享到:
出处:http://www.oschina.net/?from=rss

安全升级公告

最近发现 fastjson 在 1.2.24 以及之前版本存在高危安全漏洞,为了保证系统安全,请升级到 1.2.28 或者更新版本。

更新方法

1. Maven 依赖配置更新

通过 maven 配置更新,使用最新版本,如下:

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.28</version>
</dependency>

2. 直接下载

1.2.28版本下载地址  http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/

常见问题

1. 升级遇到不兼容问题怎么办?

1.2.28 已经修复了绝大多数兼容问题,但是总会有一些特殊的用法导致不兼容,如果你遇到不兼容问题,通过  https://github.com/alibaba/fastjson/wiki/incompatible_change_list 查看不兼容问题,链接的后面提供了遇到不兼容问题之后的使用相应的 sec01 版本解决办法。

2. 升级之后报错 autotype is not support

安全升级包禁用了部分 autotype 的功能,也就是 "@type" 这种指定类型的功能会被限制在一定范围内使用。如果你使用场景中包括了这个功能, https://github.com/alibaba/fastjson/wiki/enable_autotype 这里有一个介绍如何添加白名单或者打开 autotype 功能。

3. 通过配置打开 autotype 之后是否存在安全漏洞

在 1.2.28 以及所有的 .sec01 版本中,有多重保护,但打开 autotype 之后仍会存在风险,不建议打开,而是使用一个较小范围的白名单。

4. Android环境使用是否需要升级

目前未发现漏洞对 Android 系统产生影响,在 Android 环境中使用不用升级。

来自: https://github.com/alibaba/fastjson/wiki/security_update_20170315

相关 [fastjson 更新 升级] 推荐:

Fastjson 安全更新,建议升级到 1.2.28 或更新版本

- - 开源中国社区最新新闻
最近发现 fastjson 在 1.2.24 以及之前版本存在高危安全漏洞,为了保证系统安全,请升级到 1.2.28 或者更新版本. 通过 maven 配置更新,使用最新版本,如下:. 1.2.28版本下载地址  http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/.

fastjson发布1.1.0版本

- tangfl - ITeye论坛最新精华讨论帖
这个版本引入了asm优化encode和decode的性能,使用了新的预测读取优化算法,大幅度提升了decode的性能. 这个版本没有bug fixed. [FASTJSON-51] - 提供按字段名称顺序输出,具体信息 http://code.alibabatech.com/wiki/pages/viewpage.action?pageId=3637285.

fastjson初始化对性能的影响(转)

- - 移动开发 - ITeye博客
       转自:http://kane-xie.iteye.com/blog/2223837.        之前在项目中序列化是用thrift,性能一般,而且需要用编译器生成新的类,在序列化和反序列化的时候感觉很繁琐,因此想转到json阵营. 对比了jackson,gson等框架之后,决定用fastjson,为什么呢,因为看名字感觉很快.

Android 增量更新和升级

- - CSDN博客推荐文章
在年初的时候,尝试了一把热修复技术,当时选择的是阿里的andfix,使用起来也很简单,这里就不在多少,如果你对andfix有兴趣请链接: 点击打开链接. 虽然网上将热修复的文章很多,不过我还是想说原理,然后配合代码,我想这样大家理解更加深刻. 其实就是用ClassLoader加载机制,覆盖掉有问题的方法.

更新nginx版本upstream升级http1.1解决多TIME_WAIT问题

- - 五四陈科学院
以下内容由 [五四陈科学院]提供. 在使用java web container的时候,我们都在前面挡一层nginx,方便使用各种nginx的功能,设置成代理. 访问特别多的时候发现,服务器上存在大量的TIME_WAIT状态的连接. 经分析,可能是nginx早期版本的upstream还是使用的1.0的短连接代理,java container老是以1.0的方式主动断开进入TIME_WAIT状态,浪费了大量的连接.

软件的升级、更新是个怎样的过程?

- - 知乎每日精选
感谢 @ 胡 锦 涛邀请,这个不敢不答啊,说不定已经有数十个快递员在我家门外蓄势待发呢. 在互联网不太普及的时代,很多软件公司还是会发布离线更新包,这种更新包其实就是个安装程序,只是安装的内容是更新的部分,没有变化的文件直接用已经安装的版本的. 此外这些安装程序还会修改一些系统配置以适应新版本的功能,比如注册COM组件,修改注册表等.

可牛杀毒宣布将停止更新 用户升级至金山毒霸

- oky - cnBeta.COM
金山网络今日首次对旗下两个品牌进行调整:可牛杀毒将升级到金山毒霸2012版,并于8月12日停止更新. 据了解未来金山毒霸将专注于安全领域,而可牛将以影像、图形处理为主. 可牛杀毒开发小组今日向用户发布公开信,称即日起将把可牛杀毒全面升级到永久免费的金山毒霸2012,并在8月12日停止可牛杀毒的更新.

【紧急更新】泄密事件再次升级 , 17173 ISpeak 库泄漏 | 小众软件 > 日志

- Stephanie - 小众软件
全民修改密码的时代已经到来,继 CSDN 、 178 、天涯等数据库泄漏之后,17173 、ISpeak 数据库也泄漏,现在正通过各种渠道被下载,但数据真实性尚未确认,初步认定准确性较高,请各位自行判断是否需要更改密码. 再给大家回顾一下到目前为止所泄漏的主要库:. ©2011 root for 小众软件 | 原文链接 | 42 留言 | 加入我们 | 投稿 | 订阅指南.

快讯:广州新塘事件持续升级警车城管车、乡府被烧,持续更新[多图] 草榴社區

- 飞 - FeedzShare 1天最热
来自: c1523.mooo.com - FeedzShare  . 发布时间:2011年06月13日,  已有 4 人推荐. 广州新塘事件持续升级,正发生特大暴乱,数万名四川人正开着油罐车在国道上烧车,围观群众上十万计,整条国道水泄不通,广州防暴队、公安警察均无法到达现场控制场面. 目前爆炸声持续传来,估计已有数十台车被焚毁.