Fastjson 安全更新,建议升级到 1.2.28 或更新版本
- - 开源中国社区最新新闻最近发现 fastjson 在 1.2.24 以及之前版本存在高危安全漏洞,为了保证系统安全,请升级到 1.2.28 或者更新版本. 通过 maven 配置更新,使用最新版本,如下:. 1.2.28版本下载地址 http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/.
Fastjson 安全更新,建议升级到 1.2.28 或更新版本
标签:
软件更新新闻
| 发表时间:2017-03-15 18:42 | 作者:
出处:http://www.oschina.net/?from=rss
安全升级公告
最近发现 fastjson 在 1.2.24 以及之前版本存在高危安全漏洞,为了保证系统安全,请升级到 1.2.28 或者更新版本。
更新方法
1. Maven 依赖配置更新
通过 maven 配置更新,使用最新版本,如下:
<dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.28</version> </dependency>
2. 直接下载
1.2.28版本下载地址 http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/
常见问题
1. 升级遇到不兼容问题怎么办?
1.2.28 已经修复了绝大多数兼容问题,但是总会有一些特殊的用法导致不兼容,如果你遇到不兼容问题,通过 https://github.com/alibaba/fastjson/wiki/incompatible_change_list 查看不兼容问题,链接的后面提供了遇到不兼容问题之后的使用相应的 sec01 版本解决办法。
2. 升级之后报错 autotype is not support
安全升级包禁用了部分 autotype 的功能,也就是 "@type" 这种指定类型的功能会被限制在一定范围内使用。如果你使用场景中包括了这个功能, https://github.com/alibaba/fastjson/wiki/enable_autotype 这里有一个介绍如何添加白名单或者打开 autotype 功能。
3. 通过配置打开 autotype 之后是否存在安全漏洞
在 1.2.28 以及所有的 .sec01 版本中,有多重保护,但打开 autotype 之后仍会存在风险,不建议打开,而是使用一个较小范围的白名单。
4. Android环境使用是否需要升级
目前未发现漏洞对 Android 系统产生影响,在 Android 环境中使用不用升级。
来自: https://github.com/alibaba/fastjson/wiki/security_update_20170315
相关 [fastjson 安全 更新] 推荐:
fastjson发布1.1.0版本
- tangfl - ITeye论坛最新精华讨论帖这个版本引入了asm优化encode和decode的性能,使用了新的预测读取优化算法,大幅度提升了decode的性能. 这个版本没有bug fixed. [FASTJSON-51] - 提供按字段名称顺序输出,具体信息 http://code.alibabatech.com/wiki/pages/viewpage.action?pageId=3637285.
fastjson初始化对性能的影响(转)
- - 移动开发 - ITeye博客 转自:http://kane-xie.iteye.com/blog/2223837. 之前在项目中序列化是用thrift,性能一般,而且需要用编译器生成新的类,在序列化和反序列化的时候感觉很繁琐,因此想转到json阵营. 对比了jackson,gson等框架之后,决定用fastjson,为什么呢,因为看名字感觉很快.
Mozilla Firefox 6.0.1 安全更新发布
- 宇 - cnBeta.COMMozilla今天下午发布了Firefox最新版6.0.1,本次更新主要是为了修正昨晚爆出的DigiNotar SSL证书欺诈问题,使用该版本可以规避来自黑客的伪造身份攻击,避免在访问类似GMail等网站时出现身份被窃取.
Debian / Ubuntu 只安裝安全更新的方法
- MorrisC - Jamyy's Weblog讓 apt-get upgrade 只安裝安全更新. 參考資料: package management - How can I install just security updates from the command line.
Apache Traffic Server 5.1.1 发布,重要安全更新
- - 开源中国社区最新新闻Apache Traffic Server 5.1.1 发布. 此版本现已提供下载( http://trafficserver.apache.org/downloads),是最新的稳定版本. 5.0.x 系列到 5.1.0 的升级是无缝升级,升级指导请看这里: https://cwiki.apache.org/confluence/display/TS/Upgrading+to+v5.0.
谁更安全?
- iceman.yu - 比特客栈的文艺复兴原文:The triumph of coal marketing – Seth Godin. 翻译+整理:David Frank. 你对核能发电是不是也有一些看法. 相比其他的发电方式,它们谁更安全. 数据来自这里,图片来自这里,上图是一幅毫不夸张的数据简化图. 同样的发电量,每当核能发电误杀一个人,煤炭发电会导致4,000人的死亡.
网络安全
- - CSDN博客系统运维推荐文章1、防止入侵者对主机进行ping探测,可以禁止Linux主机对ICMP包的回应. iptables 防火墙上禁止ICMP应答. 关闭不必要的端口,时常检查网络端口情况. nmap 可以扫描端口. 关闭不必要的服务和端口. 为网络服务指定非标准的端口. 开启防火墙,只允许授权用户访问相应的服务端口.
安全机制
- - 开源软件 - ITeye博客ActiveMQ中所有安全相关的概念都是通过插件的形式实现的.这样可以通过ActiveMQ的XML. 配置文件的元素来简化配置和自定义安全认证机制.ActiveMQ提供两种认证方式:. 简单认证插件 -- 直接通过XML配置文件或者属性文件处理认证. JAAS认证插件 -- 实现了JAAS API,提供一种更强大的可自定义的认证解决方案.
Memcached安全性
- - xiaobaoqiu Blog1.Memcached -l参数. 1.Memcached -l参数. 最近整理了组内使用的Memcached. 发现很多问题,其中一个问题就是开发机器测试机器可以直连线上的Memcached. 这也是memcached公认的问题:memcached 是一种很简单、有效的协议,但也有其缺点,就是 memcached 自身没有 ACL 控制(或者相当弱).