fastjson 1.2.61 发布,增加 autoType 安全黑名单

h4cd
 h4cd
发布于 2019年09月20日
收藏 8

fastjson 1.2.61 发布了,此处本更新内容:

  1. 增加autoType安全黑名单
  2. 恢复1.2.60版本SerializeConfig中误删的put方法
  3. 修复JSONField.unwrapped在某些场景属性丢失的问题 #2753
  4. 修复Feature.NonStringKeyAsString在某些场景不生效的问题 #2736
  5. 修复不支持guava ArrayListMultimap的问题 #2430
  6. 修复JSON.parseArray方法不能识别byte[].class和char[].class作为变长参数的问题 #2464
  7. 修复snake_case配置在嵌套时不生效的问题 #2428
  8. 修复BigInteger类属性在超大数时结果不对的问题 #2628
  9. 修复java.sql.Date在某些场景丢失精度的问题

此外,近期某安全厂商把 autoType 黑名单相关漏洞级别定义为“高危”,fastjson 官方表示:autoType 默认是关闭的,需要显示配置打开并且依赖特定包的漏洞不应该算是高危漏洞。

详情查看更新说明:

https://github.com/alibaba/fastjson/releases/tag/1.2.61

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:fastjson 1.2.61 发布,增加 autoType 安全黑名单
加载中

精彩评论

aboutibm
aboutibm
一路升级一路侧漏
小小行者
小小行者
1949年以前的日期转换的bug修了没,看历史记录里好像没有
supperman
supperman
fastjson不但性能快,升级也非常快~~ fastupgrade

最新评论(10

代码搬运工er
代码搬运工er
撤了撤了,整天强制升级扛不住,换gson
supperman
supperman
fastjson不但性能快,升级也非常快~~ fastupgrade
aboutibm
aboutibm
一路升级一路侧漏
凯撒大弚
凯撒大弚
👋
开源中国首席罗纳尔多
开源中国首席罗纳尔多
用最新版比较好吧?
msscn
msscn
对。毕竟bug修复版本
无敌菌君
无敌菌君
反应快,点个赞
dwingo
dwingo
爆安全问题后升级很勤快啊, 而且官方还提出了漏洞悬赏, 可靠性值得信任了.
Antted
Antted
开源不易,赞一个
小小行者
小小行者
1949年以前的日期转换的bug修了没,看历史记录里好像没有
返回顶部
顶部