安全升级公告
 
最近发现 fastjson 在 1.2.24 以及之前版本存在高危安全漏洞，为了保证系统安全，请升级到 1.2.28 或者更新版本。
 
更新方法
 
1. Maven 依赖配置更新
 
通过 maven 配置更新，使用最新版本，如下：
 
com.alibaba
 
fastjson
 
1.2.28
 
2. 直接下载
 
常见问题
 
1. 升级遇到不兼容问题怎么办？
 
1.2.28 已经修复了绝大多数兼容问题，但是总会有一些特殊的用法导致不兼容，如果你遇到不兼容问题，通过 https://github.com/alibaba/fastjson/wiki/incompatible_change_list 查看不兼容问题，链接的后面提供了遇到不兼容问题之后的使用相应的 sec01 版本解决办法。
 
2. 升级之后报错 autotype is not support
 
安全升级包禁用了部分 autotype 的功能，也就是 “@type” 这种指定类型的功能会被限制在一定范围内使用。如果你使用场景中包括了这个功能，https://github.com/alibaba/fastjson/wiki/enable_autotype 这里有一个介绍如何添加白名单或者打开 autotype 功能。
 
3. 通过配置打开 autotype 之后是否存在安全漏洞
 
在 1.2.28 以及所有的 .sec01 版本中，有多重保护，但打开 autotype 之后仍会存在风险，不建议打开，而是使用一个较小范围的白名单。
 
4. Android环境使用是否需要升级
 
目前未发现漏洞对 Android 系统产生影响，在 Android 环境中使用不用升级。

 
 
笔者在内部构建轻量级监控平台的时候出现了fastjson的问题，需要再次升级，因此笔者先构建了一个shell脚本，用于全量替换fastjson低版本然后重启。
shell脚本如下：
 
 
#!/bin/bash
#fastjson升级脚本
#功能需求: 通过脚本一键升级web服务的低版本fastjson并重启
 
cd /opt/shell
if [ ! -d "/opt/shell/fastjson" ];then
   mkdir /opt/shell/fastjson
   cd /opt/shell/fastjson
   curl https://lightmonitorapi.test.cn/pull/fastjson1261 -o fastjson-1.2.61.jar
else
   cd /opt/shell/fastjson
   curl https://lightmonitorapi.test.cn/pull/fastjson1261 -o fastjson-1.2.61.jar
fi
 
 
cd /opt/web
for s in $(ls)
do
  fastjson=$(find /opt/web"/"$s -name fastjson*.*)
  if [ -n "$fastjson" ];then
     jsonresult=$(echo "$fastjson"| grep "1.2.61")
     if [ ! -n "$jsonresult" ];then
        fileName=$(echo "$fastjson" | awk -F'/' '{print $4}')
        service=$(ps -ef | grep -v "grep" | grep "$fileName")
        if [ -n "$service" ];then
           echo "service="$fileName" is running."
           cp /opt/shell/fastjson/fastjson-1.2.61.jar   "/opt/web/"$fileName"/webapps/WEB-INF/lib/fastjson-1.2.61.jar"
           mv "$fastjson" $fastjson"backup"
           sh "/opt/web/"$fileName"/restart.sh"
           echo "service="$fileName" is running ,fastjson upt to 1.2.61, restart success."
           sleep 5
        else
           cp /opt/shell/fastjson/fastjson-1.2.61.jar   "/opt/web/"$fileName"/webapps/WEB-INF/lib/fastjson-1.2.61.jar"
           mv "$fastjson" $fastjson"backup"
           echo "service="$fileName" is not running fastjson up to 1.2.61."
        fi
     fi
  fi
 
done
 
 
 
本文由博客一文多发平台 OpenWrite 发布！
 

fastjson 版本漏洞升级提示
 
 
 
漏洞情报：fastjson <1.2.67 反序列化远程代码执行漏洞
 
漏洞介绍：近日，阿里云应急响应中心监测到fastjson官方git披露fastjson存在最新反序列化远程代码执行漏洞攻击Gadgets，利用该最新的Gadgets，攻击者可远程执行服务器任意命令，或者造成SSRF漏洞，风险较大。官方已发布最新版本1.2.67修复该漏洞，请使用到fastjson的用户尽快升级至安全版本。
 
漏洞等级：高危
 
 
 
漏洞描述
 
常用JSON组件FastJson存在远程代码执行漏洞，攻击者可通过精心构建的json报文对目标服务器执行任意命令，从而获得服务器权限。此次爆发的漏洞为以往漏洞中autoType的绕过。
 
影响范围
 
FastJson < 1.2.67
 
 
 
漏洞描述
 
利用该0day漏洞，恶意攻击者可以构造攻击请求绕过FastJSON的黑名单策略。例如，攻击者通过精心构造的请求，远程让服务端执行指定命令（以下示例中成功运行计算器程序）。
 
 
 
升级方式：
 
1.使用maven方式管理jar包 找到项目中的pom文件中找到 fastjson.version标签 更换标签中版本号，重新打包，既可以升级。
 
 
2. 使用非maven方式管理的jar 在代码路径中WEB-INF/lib目录下 找到fastjson jar包 并做替换。

 
 
Struts2 是业界有名的漏洞之王，Fastjson 近来也不甘示弱，连续被爆出了非常多的漏洞，吓的像我这样的老程序员都不敢使用了！拼实力坑爹，Fastjson 当仁不让！
 

 
近日，Fastjson发布了最新1.2.67版本，经过内部安全人员分析研究，本次发布属于重大安全问题更新，小于1.2.67版本的Fastjson存在远程代码执行漏洞，可导致直接获取服务器权限。该漏洞利用门槛低，漏洞利用原理可能会被短时间内研究并公开，风险影响范围较大。在公众号互联网架构师后台回复：2T，可以获取架构师视频整套系统教程。
 

 
漏洞影响范围：
 
Fastjson version < 1.2.67
 
修复方案：
 
建议升级Fastjson版本到1.2.67

 
快扩散！快升级吧
 
相关阅读：纳尼？你居然还在使用fastjson，性能太差了，这个新出的秒杀fastjson

 
推荐阅读 ↓↓↓
 
1.不认命，从10年流水线工人，到谷歌上班的程序媛，一位湖南妹子的励志故事
 
2.如何才能成为优秀的架构师？

 
3.从零开始搭建创业公司后台技术栈

 
4.“37岁，985毕业，年薪50万，被裁掉只用了10分钟”

 
5.37岁程序员被裁，120天没找到工作，无奈去小公司，结果懵了...

 
6.副业&接私活必备的 10 个开源项目！

 
7.你知道哪10大算法统治着全球吗？

 
8.15张图看懂瞎忙和高效的区别！