FASTJSON 2.0.x has been released, faster and more secure, recommend you upgrade.
APACHE-2.0 License
这是一个安全修复版本,修复最近收到在特定场景下可以绕过autoType关闭限制的漏洞,建议fastjson用户尽快采取安全措施保障系统安全。
安全修复方案 :https://github.com/alibaba/fastjson/wiki/security_update_20220523
FASTJSON2已经发布并且提供兼容包,性能更好也更安全,升级指南 https://github.com/alibaba/fastjson2/wiki/fastjson_1_upgrade_cn
Published by wenshao almost 3 years ago
这又是一个bug fixed的版本,大家按需升级
Published by wenshao over 3 years ago
这又是一个bug fixed的版本,大家按需升级
Published by wenshao almost 4 years ago
这又是一个Bug修复版本,大家按需升级
Published by wenshao about 4 years ago
这又是一个Bug修复版本,大家按需升级
Published by wenshao about 4 years ago
这个是一个小版本升级,修复最近升级过程中遇到的一些Bug和兼容问题。
Published by wenshao over 4 years ago
1.2.72在1.2.71的版本上修复对kotlin和JDK 5/6/7支持的问题
Published by wenshao over 4 years ago
1.2.71在1.2.70的版本上修复对kotlin和JDK 5支持的问题。
Published by wenshao over 4 years ago
这是一个小的改进版本,主要是在1.2.69上做bug fixed,提升兼容性。
Published by wenshao over 4 years ago
这是一个关键的安全修复版本,修复新发现高危autotype开关绕过安全漏洞,请大家尽快升级到1.2.69或者更新版本。
Published by wenshao over 4 years ago
fastjson 1.2.68版本发布,Bug修复功能增强安全加固
这又是一个Bug修复功能安全加固版本,补充了autoType黑名单。如果已经升级到1.2.67版本或者所有sec09版本,没有显式打开autoType,不需要因为安全原因升级到1.2.68。
在1.2.68中引入一个safeMode的配置,配置safeMode后,无论白名单和黑名单,都不支持autoType。
在1.2.68版本中,引入了GeoJSON的支持。https://github.com/alibaba/fastjson/wiki/geojson_cn
Published by wenshao over 4 years ago
这又是一个Bug修复安全加固版本,补充了autoType黑名单。
Published by wenshao over 4 years ago
这又是一个维护版本,修复了一些BUG,并且做安全加固,补充了AutoType黑名单。
Published by wenshao about 5 years ago
国庆期间在家休息,更新一个版本。主要是增加autoType黑名单、增强日期反序列化支持、增强JSONPath支持。
再次声明一下,fastjson的autoType缺省是关闭的,缺省是基于白名单的。autoType黑名单的不断补充是给一些特别场景需要的,没有显式打开autoType的用户,不需要因为安全原因升级到大于1.2.60的版本。
Published by wenshao about 5 years ago
最近Freebuf有人发表了文章,公布了两个不在autoType黑名单中可以被利用的类,某安全厂商把漏洞定义为高。这里要说明下,autoType默认是关闭的,需要显示配置打开并且依赖特定包的漏洞不应该算是高危漏洞。
欢迎 https://github.com/Omega-Ariston 成为 fastjson的committer。
Published by wenshao about 5 years ago
这又是一个BUG修复安全加固版本,增加了AutoType黑名单,修复了一个导致拒绝服务的问题。
拒绝服务安全漏洞涉及之前所有FASTJSON版本,建议升级到最新版本1.2.60。如果遇到不兼容问题,可以使用如下兼容版本:
1.1.15~1.1.31 -> 1.1.31.sec07 这版本不一样是因为1.1.31.sec06发布后,发现1.1.31版本特有一个的问题,又发布了1.1.31.sec07
1.1.32~1.1.33 -> 1.1.33.sec06
1.1.34 -> 1.1.34.sec06
1.1.35~1.1.46 -> 1.1.46.sec06
1.2.3~1.2.7 -> 1.2.7.sec06 因为1.2.7使用最多特别提供,也可以直接使用1.2.8.sec06
1.2.8 -> 1.2.8.sec06
1.2.9~1.2.29 -> 1.2.29.sec06
安卓版本1.1.71.android 不受此漏洞影响。
https://github.com/alibaba/fastjson/wiki/1_2_60_incompatible
为了方便大家无缝升级,提供了如下原地升级版本
1.2.48.sec06
1.2.51.sec06
1.2.54.sec06
1.2.56.sec06
1.2.57.sec06
1.2.58.sec06
Published by wenshao about 5 years ago
这个版本主要是补充AutoType黑名单,增强AutoType打开时的安全性。建议不要缺省打开AutoType,AutoType打开后,黑名单是无法保证是完整的。
Published by wenshao over 5 years ago
五一期间没外出,在家休息,修复已知问题,发一个版本。改动很少,只有3个Issue。
Published by wenshao over 5 years ago
这个是例行维护版本,修复2个bug,增加一个1.2.x兼容的方法,优化部分场景的性能。
Published by wenshao over 5 years ago
这又是一个例行的bug修复维护版本。修复BUG ,提升某些场景的性能。