fastjson 爆 bug 啦，码农们，老板叫你改 bug 了！

2017 年 3 月 15 日， Fastjson 官方发布安全公告，该公告介绍 fastjson 在 1.2.24 以及之前版本存在代码执行漏洞代码执行漏洞，恶意攻击者可利用此漏洞进行远程代码执行，从而进一步入侵服务器，目前官方已经发布了最新版本，最新版本已经成功修复该漏洞。
具体漏洞详情如下：


漏洞编号:
暂无
漏洞名称:
Fastjson 远程代码执行漏洞
官方评级:
高危
漏洞描述:
fastjson 在 1.2.24 以及之前版本存在代码执行漏洞，当用户提交一个精心构造的恶意的序列化数据到服务器端时， fastjson 在反序列化时存在漏洞，可导致远程任意代码执行漏洞。
漏洞利用条件和方式:
黑客可以远程代码执行成功利用该漏洞。
漏洞影响范围:
1.2.24 及之前版本
漏洞检测:
检查 fastjson 版本是否在 1.2.24 版本内
复制代码
lsof | grep fastjson

漏洞修复建议(或缓解措施):
目前官方已经发布了最新版本，该版本已经成功修复该漏洞。
阿里云上用户建议采用以下两种方式将 fastjson 升级到 1.2.28 或者更新版本：
更新方法如下：
1.Maven 依赖配置更新

通过 maven 配置更新，使用最新版本，如下：
复制代码
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.28</version>
</dependency>

2.最新版本下载

下载地址： http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.28/

****
我们项目里好多地方用了 fastjson ，老板一看到就很紧张，叫我们马上全升级成最新版 1.2.28 。。。。然后系统挂了！！
后来查了资料才发现原来用了 autotype 的不能直接升级。。。需要处理下。还有其他一些用了更老版本的特性的也不能直接升 1.2.28 。。反正比较混乱就是了，各种全盘搜索代码，折腾了一天把旧的成功转换过来。做了些笔记，欢迎围观

http://log4geek.cc/2017/03/fastjson%e8%bf%9c%e7%a8%8b%e4%bb%a3%e7%a0%81%e6%89%a7%e8%a1%8c%e6%bc%8f%e6%b4%9e%e8%a7%a3%e5%86%b3%e6%96%b9%e6%a1%88/