内容简介:fastjson 1.2.60 发布了,这是一个 bug 修复安全加固版本,增加了 AutoType 黑名单,修复了一个导致拒绝服务的问题。 具体更新内容: 安全增强,增加 AutoType 黑名单,修复特定场景导致拒绝服务的问题 序列化支持...
fastjson 1.2.60 发布了,这是一个 bug 修复安全加固版本,增加了 AutoType 黑名单,修复了一个导致拒绝服务的问题。
具体更新内容:
- 安全增强,增加 AutoType 黑名单,修复特定场景导致拒绝服务的问题
- 序列化支持 org.json.JSONObject 类型
- 修复某些场景 Enum 定制反序列化不生效的问题
- 修复某些场景解析非法字符串不抛异常的问题
- 修复 JSONField 配置 WriteBigDecimalAsPlain 不生效的问题
- 增强 Builder 模式支持,JSONPOJOBuilder 支持 withPrefix 为空字符串等
- 修复全接口对象 @transient 不起作用的问题
- 修复解析 base64 字符串带'/'解析错误的问题
- 修复使用 JSONField 指定序列化使用单引号不生效的问题
- 修复使用 JSONField 指定 WriteMapNullValue 特性不生效的问题
- 反序列化自动识别日期格式支持'yyyy-MM-dd HH????????ss,SSS'
- 反序列化日期格式支持 unixtime
- 修复序列化 byte[] 在某些场景报错的问题
- 新增加高性能 JSONValidator API
- 新增 Mixed 功能,解决第三方无法修改源码的类定制序列化问题
此版本拒绝服务安全漏洞涉及之前所有 fastjson 版本,官方建议升级到最新版本 1.2.60。如果遇到不兼容问题,可以使用如下兼容版本:
1.1.15~1.1.31 -> 1.1.31.sec07 这版本不一样是因为1.1.31.sec06发布后,发现1.1.31版本特有一个的问题,又发布了1.1.31.sec07
1.1.32~1.1.33 -> 1.1.33.sec06
1.1.34 -> 1.1.34.sec06
1.1.35~1.1.46 -> 1.1.46.sec06
1.2.3~1.2.7 -> 1.2.7.sec06 因为1.2.7使用最多特别提供,也可以直接使用1.2.8.sec06
1.2.8 -> 1.2.8.sec06
1.2.9~1.2.29 -> 1.2.29.sec06
另外,安卓版本 1.1.71.android 不受此漏洞影响。
详情查看更新说明:
https://github.com/alibaba/fastjson/releases/tag/1.2.6
以上所述就是小编给大家介绍的《fastjson 1.2.60 发布,修复导致 DoS 的问题》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- WebAssembly 新标准可能导致幽灵熔断修复程序无效
- 苹果发布 iOS 11.2.6,修复印度语字符导致崩溃问题
- git 配置错误导致无法推送远端仓库?本文介绍各种修复方式
- J2Cache 2.8.0 发布,修复 Caffeine 导致 Redis 数据量限制问题
- 类初始化导致死锁
- 组合漏洞导致的账号劫持
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Linux/UNIX系统编程手册
Michael Kerrisk / 孙剑 许从年 董健、孙余强 郭光伟 陈舸 / 人民邮电出版社 / 2014-1 / 158
《linux/unix系统编程手册(上、下册)》是介绍linux与unix编程接口的权威著作。linux编程资深专家michael kerrisk在书中详细描述了linux/unix系统编程所涉及的系统调用和库函数,并辅之以全面而清晰的代码示例。《linux/unix系统编程手册(上、下册)》涵盖了逾500个系统调用及库函数,并给出逾200个程序示例,另含88张表格和115幅示意图。 《li......一起来看看 《Linux/UNIX系统编程手册》 这本书的介绍吧!