場景
fastjson <=1.2.68 版本有漏洞。 服務器上所有低於此版本的需升級爲安全版本。
升級到最新版本1.2.69或者更新的1.2.70版本。
過程
查找文件名包含fastjson的文件
find / -name fastjson* ; #
查找結果爲 fastjson-1.2.7 ,ok,我們的版本是正確的。然而真的是這樣嘛?
結果被打臉了。 注意1.2.7和1.2.70是完全不一樣的版本。一開始真的以爲一樣呢,後來去maven官網下載jar包,看到版本列表才發現原來1.2.7是很早的版本了。
查找內容包含fastjson的文件
grep -r -H fastjson *; # -r 遞歸查找文件夾,-H 顯示內容所在文件名
替換方式
maven項目
修改pom.xml之後,重新打包,發到服務器。
有的項目只有jar包,沒有源碼
替換jar包,重啓。
阿里安全公告20200601 github地址
https://github.com/alibaba/fastjson/wiki/security_update_20200601