场景
fastjson <=1.2.68 版本有漏洞。 服务器上所有低于此版本的需升级为安全版本。
升级到最新版本1.2.69或者更新的1.2.70版本。
过程
查找文件名包含fastjson的文件
find / -name fastjson* ; #
查找结果为 fastjson-1.2.7 ,ok,我们的版本是正确的。然而真的是这样嘛?
结果被打脸了。 注意1.2.7和1.2.70是完全不一样的版本。一开始真的以为一样呢,后来去maven官网下载jar包,看到版本列表才发现原来1.2.7是很早的版本了。
查找内容包含fastjson的文件
grep -r -H fastjson *; # -r 递归查找文件夹,-H 显示内容所在文件名
替换方式
maven项目
修改pom.xml之后,重新打包,发到服务器。
有的项目只有jar包,没有源码
替换jar包,重启。
阿里安全公告20200601 github地址
https://github.com/alibaba/fastjson/wiki/security_update_20200601