1.2.6的版本有0day的漏洞,请问一下1.2.6升级到1.2.58需要注意什么?
798qvoo81#
已知兼容问题都修复过的,这里有一个不兼容列表:https://github.com/alibaba/fastjson/wiki/incompatible_change_list遇到问题发issue或者各种方式联系,我会提供支持
钉钉号 wenshaojin2017微信号 wenshaojin微博 http://weibo.com/wengaotie
polkgigr2#
【漏洞预警】fastjson javaweb框架0day漏洞影响版本:1.2.30以下,以及1.2.41到1.2.45版本存在漏洞(包括不在本次0day版本范围内的低版本默认开启了autoType功能)处理建议:升级到最新:1.2.58以上版本,并关闭autoType功能。漏洞影响:利用fastjson javaweb框架可以在json中通过@type指定类进行自动示例化,构造相应代码,发送给存在fastjson处理的模块就会造成远程代码执行。
zbq4xfa03#
这个autoType关闭在哪里关闭?请教下
r9f1avp54#
1.2.6 版本有漏洞吗?看到的漏洞影响范围貌似不存在1.2.6
4条答案
按热度按时间798qvoo81#
已知兼容问题都修复过的,这里有一个不兼容列表:
https://github.com/alibaba/fastjson/wiki/incompatible_change_list
遇到问题发issue或者各种方式联系,我会提供支持
钉钉号 wenshaojin2017
微信号 wenshaojin
微博 http://weibo.com/wengaotie
polkgigr2#
【漏洞预警】fastjson javaweb框架0day漏洞
影响版本:1.2.30以下,以及1.2.41到1.2.45版本存在漏洞(包括不在本次0day版本范围内的低版本默认开启了autoType功能)
处理建议:升级到最新:1.2.58以上版本,并关闭autoType功能。
漏洞影响:利用fastjson javaweb框架可以在json中通过@type指定类进行自动示例化,构造相应代码,发送给存在fastjson处理的模块就会造成远程代码执行。
zbq4xfa03#
这个autoType关闭在哪里关闭?请教下
r9f1avp54#
1.2.6 版本有漏洞吗?看到的漏洞影响范围貌似不存在1.2.6