【笔记】fastjson低版本高危漏洞预警

安全漏洞笔记-Fastjson高危漏洞预警

  1. 影响
    Fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险
    漏洞影响版本: Fastjson ≤ 1.2.80

  2. 人工检测方法:
    • Maven:排查pom.xml,通过搜索Fastjson确定版本号
    • 其他项目通过搜索jar文件确定Fastjson版本号:lsof | grep fastjson

目前官方已在最新版本1.2.83中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://github.com/alibaba/fastjson/releases

*****升级步骤如下:

  1. 备份原fastjson依赖库,避免升级失败的情况发生。
  2. 将低版本的fastjson库替换为2.83版本即可

开发人员可通过配置Maven的方式对应用进行升级并编译发布,配置如下:

com.alibaba
fastjson
1.2.83

注:该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,若遇到问题可以到 https://github.com/alibaba/fastjson/issues 寻求帮助。

你可能感兴趣的:(开发测试流程,安全测试,maven,java,安全)