tongchenkeji 发表于:2023-4-18 8:08:520次点击 已关注取消关注 关注 私信 大佬4.9.x版本有计划升级fastjson吗? 现在用的版本还是有漏洞的[阿里云消息队列MQ] 暂停朗读为您朗读 大佬4.9.x版本有计划升级fastjson吗? 现在用的版本还是有漏洞的 「点点赞赏,手留余香」 赞赏 还没有人赞赏,快来当第一个赞赏的人吧! 海报 消息队列 MQ# fastjson4# 安全288
wljslmzAM 2023-11-28 0:22:01 1 目前,阿里云 MQ 在 4.9.x 版本中默认使用的是 fastjson 1.2.15 版本,这个版本已经正式发布并且目前在使用中也没有被发现存在安全漏洞。虽然以前的一些版本中曾经存在过安全漏洞,但在 4.9.x 版本中已经修复了这些问题。 如果您发现您正在使用的阿里云 MQ 版本中包含安全漏洞,建议您及时升级到最新版本,以及定期进行安全审计和漏洞扫描,确保您的应用程序和数据的安全性。 另外,强烈建议您不要使用 fastjson 的 AutoType 特性,来防止远程代码执行攻击(RCE)。在使用 fastjson 时务必遵循最佳实践,确保代码在处理序列化和反序列化数据时不受攻击。
xin在这AM 2023-11-28 0:22:01 2 我记得已经是修过漏洞的版本了,你可以本地先升级测试一下,提个PR,4.9.x本身作为一个LTS版本,后续还是会继续发版的。https://github.com/apache/rocketmq/pull/6383,但最新develop分支的代码和5.0.0版本差的比较多,可能不好cherry pick,此回答整理自钉群“群2-Apache RocketMQ 中国开发者钉钉群”
目前,阿里云 MQ 在 4.9.x 版本中默认使用的是 fastjson 1.2.15 版本,这个版本已经正式发布并且目前在使用中也没有被发现存在安全漏洞。虽然以前的一些版本中曾经存在过安全漏洞,但在 4.9.x 版本中已经修复了这些问题。
如果您发现您正在使用的阿里云 MQ 版本中包含安全漏洞,建议您及时升级到最新版本,以及定期进行安全审计和漏洞扫描,确保您的应用程序和数据的安全性。
另外,强烈建议您不要使用 fastjson 的
AutoType特性,来防止远程代码执行攻击(RCE)。在使用 fastjson 时务必遵循最佳实践,确保代码在处理序列化和反序列化数据时不受攻击。我记得已经是修过漏洞的版本了,你可以本地先升级测试一下,提个PR,4.9.x本身作为一个LTS版本,后续还是会继续发版的。https://github.com/apache/rocketmq/pull/6383,但最新develop分支的代码和5.0.0版本差的比较多,可能不好cherry pick,此回答整理自钉群“群2-Apache RocketMQ 中国开发者钉钉群”