【重要紧急】如何修复fastjson的漏洞？大家都可以进来看看。

ufo1982ufo

在本地环境中测试了应用没有问题，后来部署在远程的云服务器访问也没有问题。过了一小段时间后服务就无故卡死！报错如图：

后来发现系统存在此漏洞：



用chrome分析也是saveuser这里的问题！


查询相关的资料，发现漏洞的确是存在的！


打开wex5的studio发现fastjson的版本是没有修复的版本，即便是runtime-java的部署包里的fastjson版本依旧是没有修复漏洞的版本：fastjson-1.1.25.jar


所以，现在我需要升级到最新的安全版本，请问如何升级？希望给我个详细的步骤，谢谢！
顺便贴上fastjson的比较新链接（github的），大家可以去下载：http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.9/

ufo1982ufo

在线再等等！

ufo1982ufo

顺便说一下，baas都是起步的标准CRUD，没有做其他的更改！

liangyongfei

你好楼主，这个问题需要我在本地环境进行问题重现，所以会花费较长时间，请你耐心等待，我完成后会第一时间反馈结果，谢谢！2017041800004

ufo1982ufo

liangyongfei 发表于 2017-4-18 13:45
你好楼主，这个问题需要我在本地环境进行问题重现，所以会花费较长时间，请你耐心等待，我完成后会第一时间 ...

fastjson的漏洞的却是存在。
我在本地搭建不会出现卡死的情况，但是在云端搭建的（阿里云，腾讯云）就会被检测出具有此漏洞而阻止访问，因而出现了卡死的情况！所以应该说即便本地重现了一切正常，fastjson的漏洞依然存在。
在xhr的query部分是不会有问题的，都是在save的时候。在图片中只要包含了“@type”就会有漏洞！
我的想法是能不能有个替换eclipse引用fastjson的办法，然后重新编译后使用新的1.2.29的fastjson就不会有此漏洞了吧！我觉得这种方法才最快解决这个问题！
顺便哪位高手解决了这个问题，也不妨分享一下！

ufo1982ufo

liangyongfei 发表于 2017-4-18 13:45
你好楼主，这个问题需要我在本地环境进行问题重现，所以会花费较长时间，请你耐心等待，我完成后会第一时间 ...

梁老师，有没有替换那个fastjson的办法？

ufo1982ufo

这个问题希望官方关注下！大家帮忙顶顶！

liangyongfei

ufo1982ufo 发表于 2017-4-20 16:58
这个问题希望官方关注下！大家帮忙顶顶！

不要急，已经提交内部系统了！
或者你自己上网下载那个jar包，替换并重启，应该就行了

ufo1982ufo

liangyongfei 发表于 2017-4-21 09:22
不要急，已经提交内部系统了！
或者你自己上网下载那个jar包，替换并重启，应该就行了 ...

这个应该不行吧，我替换之后报错，凡是save都错，query没有报错。信息如下：

1. HTTP Status 500 - 执行Action：mfxxl/mfxxluser/saveUser失败，autoType is not support. table
   
2. 
   
3. type Exception report
   
4. 
   
5. message 执行Action：mfxxl/mfxxluser/saveUser失败，autoType is not support. table
   
6. 
   
7. description The server encountered an internal error that prevented it from fulfilling this request.
   
8. 
   
9. exception
   
10. 
    
11. javax.servlet.ServletException: 执行Action：mfxxl/mfxxluser/saveUser失败，autoType is not support. table
    
12.         com.justep.baas.servlet.BaasServlet.execService(Unknown Source)
    
13.         com.justep.baas.servlet.BaasServlet.service(Unknown Source)
    
14. root cause
    
15. 
    
16. com.alibaba.fastjson.JSONException: autoType is not support. table
    
17.         com.alibaba.fastjson.parser.ParserConfig.checkAutoType(ParserConfig.java:869)
    
18.         com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:325)
    
19.         com.alibaba.fastjson.parser.DefaultJSONParser.parseArray(DefaultJSONParser.java:1160)
    
20.         com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:479)
    
21.         com.alibaba.fastjson.parser.DefaultJSONParser.parse(DefaultJSONParser.java:1335)
    
22.         com.alibaba.fastjson.parser.DefaultJSONParser.parse(DefaultJSONParser.java:1301)
    
23.         com.alibaba.fastjson.JSON.parse(JSON.java:148)
    
24.         com.alibaba.fastjson.JSON.parse(JSON.java:139)
    
25.         com.alibaba.fastjson.JSON.parseObject(JSON.java:212)
    
26.         com.justep.baas.servlet.BaasServlet.getParams(Unknown Source)
    
27.         com.justep.baas.servlet.BaasServlet.getParams(Unknown Source)
    
28.         com.justep.baas.servlet.BaasServlet.execService(Unknown Source)
    
29.         com.justep.baas.servlet.BaasServlet.service(Unknown Source)
    
30. note The full stack trace of the root cause is available in the Apache Tomcat/6.0.41 logs.

复制代码

这个应该是底层的东西，光替换应该不行，就是那个@type。起步之前用的版本在最新的fastjson中应该修改了，而那些crud又是之前的fastjson，就出现了报错。这个应该只能官方进行修改源码吧，替换是肯定不行的了！
说不急也是嘴上说说了，其实心里还是挺急的！

ufo1982ufo

此贴有无措施修正这个问题？？