大佬4.9.x版本有计划升级fastjson吗? 现在用的版本还是有漏洞的
大佬4.9.x版本有计划升级fastjson吗? 现在用的版本还是有漏洞的
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
-
公众号:网络技术联盟站,InfoQ签约作者,阿里云社区签约作者,华为云 云享专家,BOSS直聘 创作王者,腾讯课堂创作领航员,博客+论坛:https://www.wljslmz.cn,工程师导航:https://www.wljslmz.com
目前,阿里云 MQ 在 4.9.x 版本中默认使用的是 fastjson 1.2.15 版本,这个版本已经正式发布并且目前在使用中也没有被发现存在安全漏洞。虽然以前的一些版本中曾经存在过安全漏洞,但在 4.9.x 版本中已经修复了这些问题。
如果您发现您正在使用的阿里云 MQ 版本中包含安全漏洞,建议您及时升级到最新版本,以及定期进行安全审计和漏洞扫描,确保您的应用程序和数据的安全性。
另外,强烈建议您不要使用 fastjson 的
AutoType特性,来防止远程代码执行攻击(RCE)。在使用 fastjson 时务必遵循最佳实践,确保代码在处理序列化和反序列化数据时不受攻击。2023-04-30 12:41:26赞同 展开评论 -
我记得已经是修过漏洞的版本了,你可以本地先升级测试一下,提个PR,4.9.x本身作为一个LTS版本,后续还是会继续发版的。https://github.com/apache/rocketmq/pull/6383,但最新develop分支的代码和5.0.0版本差的比较多,可能不好cherry pick,此回答整理自钉群“群2-Apache RocketMQ 中国开发者钉钉群”
2023-04-19 08:07:19赞同 展开评论
涵盖 RocketMQ、Kafka、RabbitMQ、MQTT、轻量消息队列(原MNS) 的消息队列产品体系,全系列产品 Serverless 化。RocketMQ 中文社区:https://rocketmq-learning.com/
