【重要紧急】如何修复fastjson的漏洞？大家都可以进来看看。

liangyongfei

ufo1982ufo 发表于 2017-4-28 10:37
此贴有无措施修正这个问题？？

已经提交内部系统了！
需要等待解决
我们这里测试都是正常的啊！就用旧版本的jar包！运行外卖案例！你再试试有什么问题吗？

ufo1982ufo

liangyongfei 发表于 2017-4-28 11:19
已经提交内部系统了！
需要等待解决
我们这里测试都是正常的啊！就用旧版本的jar包！运行外卖案例！你再试 ...

引用：


不要急，已经提交内部系统了！
或者你自己上网下载那个jar包，替换并重启，应该就行了





如果使用旧的fastjson不会有什么运行障碍，但是由于旧版的存在漏洞而且很严重，所以想发帖让官方解决这个漏洞。

我上网下载了最新包自己替换，结果报错了！就是我之前回复你的那种情况！

这个fastjson应该在wex5框架比较底层，所以我那种直接复制替换的方法就不会有用。所以是问问怎么才可以安全替换成高版本？

liangyongfei

ufo1982ufo 发表于 2017-4-28 12:08
引用：

那就不知道了！我问过了！ｊａｒ包我们也没改过，就是它原始的东西！
既然新的ｊａｒ包不支持！只能等我们升级的时候解决这个问题了！

liangyongfei

ufo1982ufo 发表于 2017-4-28 12:08
引用：

本地测试没问题！是正常的
http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.9/

你应该下载最新的版本

XiaoQLuo

直接替换BaasServer\WEB-INF\lib下的fastjson就可以；
将原fastjson-1.1.25.jar删除（重点啊，是删除）
放入fastjson-1.2.9.jar

版本中测试没有问题

ufo1982ufo

XiaoQLuo 发表于 2017-4-28 15:49
直接替换BaasServer\WEB-INF\lib下的fastjson就可以；
将原fastjson-1.1.25.jar删除（重点啊，是删除）
放 ...

已经删除了，报错：

1. HTTP Status 500 - 执行Action：mfxxl/mfxxluser/saveUser失败，autoType is not support. table
   
2. 
   
3. type Exception report
   
4. 
   
5. message 执行Action：mfxxl/mfxxluser/saveUser失败，autoType is not support. table
   
6. 
   
7. description The server encountered an internal error that prevented it from fulfilling this request.
   
8. 
   
9. exception
   
10. 
    
11. javax.servlet.ServletException: 执行Action：mfxxl/mfxxluser/saveUser失败，autoType is not support. table
    
12.         com.justep.baas.servlet.BaasServlet.execService(Unknown Source)
    
13.         com.justep.baas.servlet.BaasServlet.service(Unknown Source)
    
14. root cause
    
15. 
    
16. com.alibaba.fastjson.JSONException: autoType is not support. table
    
17.         com.alibaba.fastjson.parser.ParserConfig.checkAutoType(ParserConfig.java:869)
    
18.         com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:325)
    
19.         com.alibaba.fastjson.parser.DefaultJSONParser.parseArray(DefaultJSONParser.java:1160)
    
20.         com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:479)
    
21.         com.alibaba.fastjson.parser.DefaultJSONParser.parse(DefaultJSONParser.java:1335)
    
22.         com.alibaba.fastjson.parser.DefaultJSONParser.parse(DefaultJSONParser.java:1301)
    
23.         com.alibaba.fastjson.JSON.parse(JSON.java:148)
    
24.         com.alibaba.fastjson.JSON.parse(JSON.java:139)
    
25.         com.alibaba.fastjson.JSON.parseObject(JSON.java:212)
    
26.         com.justep.baas.servlet.BaasServlet.getParams(Unknown Source)
    
27.         com.justep.baas.servlet.BaasServlet.getParams(Unknown Source)
    
28.         com.justep.baas.servlet.BaasServlet.execService(Unknown Source)
    
29.         com.justep.baas.servlet.BaasServlet.service(Unknown Source)
    
30. note The full stack trace of the root cause is available in the Apache Tomcat/6.0.41 logs.

复制代码

你测试不会报错？？我的那些action都是wex5默认生成的！

liangyongfei

ufo1982ufo 发表于 2017-4-28 16:03
已经删除了，报错：

本地测试过了！真的不会报错的！需要重启tomcat ，你是哪个jar包 ，是最新的吗1.2.9

ufo1982ufo

liangyongfei 发表于 2017-4-28 15:47
本地测试没问题！是正常的
http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.9/

都试过了，query都报错啊，我试了几个版本了，包含最新版本的！
换回那个1.25版本立马就正常！

1. HTTP Status 500 - 执行Action：mfxxl/mfxxluser/saveUser失败，autoType is not support. table
   
2. 
   
3. type Exception report
   
4. 
   
5. message 执行Action：mfxxl/mfxxluser/saveUser失败，autoType is not support. table
   
6. 
   
7. description The server encountered an internal error that prevented it from fulfilling this request.
   
8. 
   
9. exception
   
10. 
    
11. javax.servlet.ServletException: 执行Action：mfxxl/mfxxluser/saveUser失败，autoType is not support. table
    
12.         com.justep.baas.servlet.BaasServlet.execService(Unknown Source)
    
13.         com.justep.baas.servlet.BaasServlet.service(Unknown Source)
    
14. root cause
    
15. 
    
16. com.alibaba.fastjson.JSONException: autoType is not support. table
    
17.         com.alibaba.fastjson.parser.ParserConfig.checkAutoType(ParserConfig.java:869)
    
18.         com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:325)
    
19.         com.alibaba.fastjson.parser.DefaultJSONParser.parseArray(DefaultJSONParser.java:1160)
    
20.         com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:479)
    
21.         com.alibaba.fastjson.parser.DefaultJSONParser.parse(DefaultJSONParser.java:1335)
    
22.         com.alibaba.fastjson.parser.DefaultJSONParser.parse(DefaultJSONParser.java:1301)
    
23.         com.alibaba.fastjson.JSON.parse(JSON.java:148)
    
24.         com.alibaba.fastjson.JSON.parse(JSON.java:139)
    
25.         com.alibaba.fastjson.JSON.parseObject(JSON.java:212)
    
26.         com.justep.baas.servlet.BaasServlet.getParams(Unknown Source)
    
27.         com.justep.baas.servlet.BaasServlet.getParams(Unknown Source)
    
28.         com.justep.baas.servlet.BaasServlet.execService(Unknown Source)
    
29.         com.justep.baas.servlet.BaasServlet.service(Unknown Source)
    
30. note The full stack trace of the root cause is available in the Apache Tomcat/6.0.41 logs.
    
31. 
    
32. Apache Tomcat/6.0.41

复制代码

ufo1982ufo

XiaoQLuo 发表于 2017-4-28 15:49
直接替换BaasServer\WEB-INF\lib下的fastjson就可以；
将原fastjson-1.1.25.jar删除（重点啊，是删除）
放 ...

我也是放在这个目录，就文件已经删除，tomcat也重启过！

liangyongfei

ufo1982ufo 发表于 2017-4-28 16:12
都试过了，query都报错啊，我试了几个版本了，包含最新版本的！
换回那个1.25版本立马就正常！
...

你好楼主，该问题需要远程，已经通过技术服务QQ加你为好友了，请及时通过，我们会尽快QQ远程。