漏洞背景

Fastjson 是阿里巴巴的开源框架，它采用一种“假定有序快速匹配”的算法，是号称Java中最快的JSON库。JSON协议在日常开发中很常用，包括前后端的数据接口，日志字段的保存等，通常都采用JSON协议。

近日，网宿云安全平台监测到Fastjson多个版本存在远程拒绝服务漏洞，Fastjson 1.2.60版本以下存在字符串解析异常，攻击者可在请求中构造恶意json字符串，由于fastjson处理逻辑缺陷，会造成服务器内存和CPU资源耗尽而导致拒绝服务攻击。网宿判断该漏洞危害高，影响面较大，建议广大客户及时自查，防止业务受到攻击。

网宿云WAF已在监测到漏洞的第一时间更新防护策略，为平台客户抵御该漏洞威胁。

漏洞影响范围

Fastjson 1.2.60以下版本均在漏洞影响范围内

网宿建议

网宿安全专家建议，受此漏洞影响的客户，尽快通过以下手段缓解漏洞带来的危害：

1、 升级Fastjson到1.2.60版本

2、 兼容性版本升级至：fastjson sec06以上

3、尽可能使用Jackson或者Gson

网宿云WAF已于第一时间更新防护策略，为平台客户实时抵御威胁。同时，网宿云安全已开通漏洞响应快速通道，受本次漏洞影响的网站负责人可以致电网宿科技7*24小时客服热线，在安全专家的指导下快速接入网站，立即启动防护。

网宿云WAF能够防护已知的各类漏洞，同时，还可以基于对大量监控数据的实时分析，可以第一时间发现并防护新出现的漏洞，保障网站底层框架的安全。

漏洞响应快速通道

400-010-0617

参考链接：https://github.com/alibaba/fastjson