亚洲黄色电影在线看,青娱乐自拍极品92,无码破解一区二区三区在线播报,五月av,亚洲丝袜性爱,开心色播久久久,一级日韩免费观看,夜夜骚av一区二区三区

近日 Fastjson Develop Team 發(fā)現(xiàn) fastjson 1.2.80及以下存在新的風(fēng)險，請關(guān)注。

1. 風(fēng)險描述

fastjson已使用黑白名單用于防御反序列化漏洞，經(jīng)研究該利用在特定條件下可繞過默認(rèn)autoType關(guān)閉限制，攻擊遠(yuǎn)程服務(wù)器，風(fēng)險影響較大。

建議fastjson用戶盡快采取安全措施保障系統(tǒng)安全。

特定依賴存在下影響 ≤1.2.80

https://github.com/alibaba/fastjson/releases/tag/1.2.83

該版本涉及autotype行為變更，在某些場景會出現(xiàn)不兼容的情況。

fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，無論白名單和黑名單，都不支持autoType，可杜絕反序列化Gadgets類變種攻擊（關(guān)閉autoType注意評估對業(yè)務(wù)的影響）。

參考：

https://github.com/alibaba/fastjson/wiki/fastjson_safemode

1.2.83修復(fù)了此次發(fā)現(xiàn)的漏洞，開啟safeMode是完全關(guān)閉autoType功能，避免類似問題再次發(fā)生，這可能會有兼容問題，請充分評估對業(yè)務(wù)影響后開啟。

開啟safeMode不受本次漏洞影響，可以不做升級。

fastjson v2 地址：

https://github.com/alibaba/fastjson2/releases

fastjson已經(jīng)開源2.0版本，在2.0版本中，不再為了兼容提供白名單，提升了安全性。fastjson v2代碼已經(jīng)重寫，性能有了很大提升，不完全兼容1.x，升級需要做認(rèn)真的兼容測試。

在5月26日后，為了方便使用老版本用戶兼容安全加固需求，提供了noneautotype版本，效果和1.2.68的safeMode效果一樣，完全禁止autotype功能。

使用noneautotype版本的用戶也不受此次漏洞影響。

盡快修復(fù)保平安吧！