Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

漏洞太多了 #3073

Open
zouzhirong opened this issue Mar 20, 2020 · 22 comments
Open

漏洞太多了 #3073

zouzhirong opened this issue Mar 20, 2020 · 22 comments

Comments

@zouzhirong
Copy link

zouzhirong commented Mar 20, 2020
edited
Loading

漏洞太多了,一年修了几次fastjson漏洞,几十个服务挨个升级,心累。。
@gudegg
Copy link

gudegg commented Mar 20, 2020

哎,半夜修漏洞

@linkinparkzlz
Copy link

linkinparkzlz commented Mar 20, 2020
edited
Loading

半夜来升级,特来留言。
改名叫BugJson吧

@cavalier23
Copy link

bugjson +1

@iter-feiyu
Copy link

gson不香吗

@littleJava
Copy link

littleJava commented Mar 21, 2020
edited
Loading

应用被发布到了10+个不同的站点,谁能理解因为bugjson漏洞被逼着一个个发布的酸爽吗,周五夜里开始发布到周六凌晨5点, 而且只完成了4个站点

@MasonPD
Copy link

MasonPD commented Mar 22, 2020

能不能做到动态升级。。

@shengqi158
Copy link

并不是所有问题都需要升级,对于这个要区分两类来看(另外Fastjson是国内一个不错的开源项目,还是应该多包容下)
一、像Fastjson 1.2.47以及之前的版本,是在antotype不开启情况下依然可以利用,这个时候都需要及时修复;
二、1.2.60以上版本之后的几次更新都是antotype黑名单补充加固,目前默认缺省autoType是关闭的,这时候就是基于白名单的。AutoType黑名单的不断补充的话,是给一些特别场景需要的,没有显式打开autoType的用户,不需要因为黑名单的安全原因升级跟随升级。

但是你能确保这个版本不能bypass autotype吗?补丁里不仅仅是黑名单更新,还有白名单变更,而白名单是直接绕过autotype的

@shadowDy
Copy link

bugjson

1 similar comment
@shadowDy
Copy link

bugjson

@shadowDy
Copy link

升级回归心累了

@CaledoniaProject
Copy link

装个 OpenRASP 吧

@snippet0809
Copy link

你们升级好歹把问题解决了,我是升级后依然没有解决问题

@cavalier23
Copy link

你们升级好歹把问题解决了,我是升级后依然没有解决问题

换jackson, 不香吗

@ChetWang
Copy link

你们升级好歹把问题解决了,我是升级后依然没有解决问题

换jackson, 不香吗

jackson这货也是半斤八两,漏洞不比fastjson少

@liuyan707124617
Copy link

你们升级好歹把问题解决了,我是升级后依然没有解决问题

换jackson, 不香吗

jackson这货也是半斤八两,漏洞不比fastjson少

你说的对,jackson半斤八两····

@ctykwz
Copy link

ctykwz commented Mar 24, 2020

jackjson 又香了

@th0o0
Copy link

th0o0 commented Mar 25, 2020

漏洞太多了,一年修了几次fastjson漏洞,几十个服务挨个升级,心累。。

弄一个父pom文件,就可以啊

@songlongkuan
Copy link

songlongkuan commented Apr 1, 2020
edited
Loading

楼上的那些 你们的依赖不会统一管理吗?
理论上只要是统一管理的,那么改一下版本号,重新发布即可....

@bes2008
Copy link

bes2008 commented Jun 16, 2020

https://github.com/fangjinuo/easyjson
你们需要的是这个

@bes2008
Copy link

bes2008 commented Jun 17, 2020

应用被发布到了10+个不同的站点,谁能理解因为bugjson漏洞被逼着一个个发布的酸爽吗,周五夜里开始发布到周六凌晨5点, 而且只完成了4个站点

你需要这个https://github.com/fangjinuo/easyjson

@bes2008
Copy link

bes2008 commented Jun 17, 2020

你们升级好歹把问题解决了,我是升级后依然没有解决问题

你需要这个https://github.com/fangjinuo/easyjson

@bes2008
Copy link

bes2008 commented Jun 17, 2020

半夜来升级,特来留言。
改名叫BugJson吧

你需要这个https://github.com/fangjinuo/easyjson

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests