fastjson 1.2.60 发布,修复导致 DoS 的问题

h4cd
 h4cd
发布于 2019年09月09日
收藏 7

fastjson 1.2.60 发布了,这是一个 bug 修复安全加固版本,增加了 AutoType 黑名单,修复了一个导致拒绝服务的问题。

具体更新内容:

  • 安全增强,增加 AutoType 黑名单,修复特定场景导致拒绝服务的问题
  • 序列化支持 org.json.JSONObject 类型
  • 修复某些场景 Enum 定制反序列化不生效的问题
  • 修复某些场景解析非法字符串不抛异常的问题
  • 修复 JSONField 配置 WriteBigDecimalAsPlain 不生效的问题
  • 增强 Builder 模式支持,JSONPOJOBuilder 支持 withPrefix 为空字符串等
  • 修复全接口对象 @transient 不起作用的问题
  • 修复解析 base64 字符串带'/'解析错误的问题
  • 修复使用 JSONField 指定序列化使用单引号不生效的问题
  • 修复使用 JSONField 指定 WriteMapNullValue 特性不生效的问题
  • 反序列化自动识别日期格式支持'yyyy-MM-dd HH🇲🇲ss,SSS'
  • 反序列化日期格式支持 unixtime
  • 修复序列化 byte[] 在某些场景报错的问题
  • 新增加高性能 JSONValidator API
  • 新增 Mixed 功能,解决第三方无法修改源码的类定制序列化问题

此版本拒绝服务安全漏洞涉及之前所有 fastjson 版本,官方建议升级到最新版本 1.2.60。如果遇到不兼容问题,可以使用如下兼容版本:

1.1.15~1.1.31 -> 1.1.31.sec07 这版本不一样是因为1.1.31.sec06发布后,发现1.1.31版本特有一个的问题,又发布了1.1.31.sec07
1.1.32~1.1.33 -> 1.1.33.sec06 
1.1.34        -> 1.1.34.sec06
1.1.35~1.1.46 -> 1.1.46.sec06
1.2.3~1.2.7   -> 1.2.7.sec06 因为1.2.7使用最多特别提供,也可以直接使用1.2.8.sec06
1.2.8 -> 1.2.8.sec06
1.2.9~1.2.29 -> 1.2.29.sec06

另外,安卓版本 1.1.71.android 不受此漏洞影响。

详情查看更新说明:

https://github.com/alibaba/fastjson/releases/tag/1.2.6

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:fastjson 1.2.60 发布,修复导致 DoS 的问题
加载中

精彩评论

呼呼南风
呼呼南风
看到你们用的这个提心吊胆,我还是比较喜欢,主要是他的性能
MGL_TECH
MGL_TECH
为什么一个JSON工具漏洞这么多 而且好像都比较严重 用着有点害怕了呢

最新评论(12

yxy-
yxy-
还是换gson吧
谁来与我大战三百回合
jackson才是真灵活,对泛型支持最完整,可定制性最好。
oldDriverSS
oldDriverSS
本次更新新增的bug如下
丁富贵
jackson不是已经很好用了吗?
买房也用券
买房也用券
我觉得jackson的API没有fastjson简单
l
laogao666
今天收到腾讯云发的安全提示了,赶快去把fastjson升级了
心心念叨的人
几个月前刚升级到sec04 .我sec05都没见到,这就要升sec06了
呼呼南风
呼呼南风
看到你们用的这个提心吊胆,我还是比较喜欢,主要是他的性能
剑神卓不凡
剑神卓不凡
已升级
开源中国123456789
开源中国123456789
好像说这个黑洞可以把系统给干蹦
MGL_TECH
MGL_TECH
为什么一个JSON工具漏洞这么多 而且好像都比较严重 用着有点害怕了呢
返回顶部
顶部