fastjson 1.28版本以下漏洞修復

場景

fastjson <=1.2.68 版本有漏洞。 服務器上所有低於此版本的需升級爲安全版本。

升級到最新版本1.2.69或者更新的1.2.70版本。

過程

查找文件名包含fastjson的文件

find / -name fastjson* ; # 

查找結果爲 fastjson-1.2.7 ,ok,我們的版本是正確的。然而真的是這樣嘛?
結果被打臉了。 注意1.2.7和1.2.70是完全不一樣的版本。一開始真的以爲一樣呢,後來去maven官網下載jar包,看到版本列表才發現原來1.2.7是很早的版本了。

查找內容包含fastjson的文件

grep -r -H fastjson *; # -r 遞歸查找文件夾,-H 顯示內容所在文件名

替換方式

maven項目

修改pom.xml之後,重新打包,發到服務器。

有的項目只有jar包,沒有源碼

替換jar包,重啓。

阿里安全公告20200601 github地址

https://github.com/alibaba/fastjson/wiki/security_update_20200601

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章