漏洞介紹
fastjson在1.2.24以及之前版本近日曝出代碼執(zhí)行漏洞，當用戶提交一個精心構(gòu)造的惡意的序列化數(shù)據(jù)到服務(wù)器端時，fastjson在反序列化時存在漏洞，可導致遠程任意代碼執(zhí)行漏洞。

風險：高風險
方式：黑客通過利用漏洞可以實現(xiàn)遠程代碼執(zhí)行
影響：1.2.24及之前版本
安全版本：>=1.2.28

修復方法

1.請將fastjson升級到1.2.28或者更新版本

<groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.28</version>

直接下載

1.2.28版本下載地址 http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/

常見問題

升級遇到不兼容問題怎么辦？

1.2.28已經(jīng)修復了絕大多數(shù)兼容問題，但是總會有一些特殊的用法導致不兼容，如果你遇到不兼容問題，通過 https://github.com/alibaba/fastjson/wiki/incompatible_change_list 查看不兼容問題，鏈接的后面提供了遇到不兼容問題之后的使用相應(yīng)的sec01版本解決辦法。

升級之后報錯autotype is not support

安全升級包禁用了部分autotype的功能，也就是"@type"這種指定類型的功能會被限制在一定范圍內(nèi)使用。如果你使用場景中包括了這個功能，https://github.com/alibaba/fastjson/wiki/enable_autotype 這里有一個介紹如何添加白名單或者打開autotype功能。

通過配置打開autotype之后是否存在安全漏洞

在1.2.28以及所有的.sec01版本中，有多重保護，但打開autotype之后仍會存在風險，不建議打開，而是使用一個較小范圍的白名單。

Android環(huán)境使用是否需要升級

目前未發(fā)現(xiàn)漏洞對Android系統(tǒng)產(chǎn)生影響，在Android環(huán)境中使用不用升級。

本文來自開源中國社區(qū) [http://www.oschina.net]

《新程序員》：云原生和全面數(shù)字化實踐50位技術(shù)專家共同創(chuàng)作，文字、視頻、音頻交互閱讀

總結(jié)

以上是生活随笔為你收集整理的Fastjson 爆出远程代码执行高危漏洞，更新版本已修复的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。