CDN加速

产品动态 > 正文

【漏洞预警】 Fastjson远程拒绝服务漏洞,网宿云WAF实时防御

2019-09-06

漏洞背景

Fastjson 是阿里巴巴的开源框架,它采用一种“假定有序快速匹配”的算法,是号称Java中最快的JSON库。JSON协议在日常开发中很常用,包括前后端的数据接口,日志字段的保存等,通常都采用JSON协议。

近日,网宿云安全平台监测到Fastjson多个版本存在远程拒绝服务漏洞,Fastjson 1.2.60版本以下存在字符串解析异常,攻击者可在请求中构造恶意json字符串,由于fastjson处理逻辑缺陷,会造成服务器内存和CPU资源耗尽而导致拒绝服务攻击。网宿判断该漏洞危害高,影响面较大,建议广大客户及时自查,防止业务受到攻击。

网宿云WAF已在监测到漏洞的第一时间更新防护策略,为平台客户抵御该漏洞威胁。

网宿亮相亚马逊云峰会:解读如何构建安全可靠的云基础架构

漏洞影响范围

Fastjson 1.2.60以下版本均在漏洞影响范围内

网宿建议

网宿安全专家建议,受此漏洞影响的客户,尽快通过以下手段缓解漏洞带来的危害:

1、 升级Fastjson到1.2.60版本

2、 兼容性版本升级至:fastjson sec06以上

3、尽可能使用Jackson或者Gson

网宿云WAF已于第一时间更新防护策略,为平台客户实时抵御威胁。同时,网宿云安全已开通漏洞响应快速通道,受本次漏洞影响的网站负责人可以致电网宿科技7*24小时客服热线,在安全专家的指导下快速接入网站,立即启动防护。

网宿云WAF能够防护已知的各类漏洞,同时,还可以基于对大量监控数据的实时分析,可以第一时间发现并防护新出现的漏洞,保障网站底层框架的安全。

漏洞响应快速通道

400-010-0617

参考链接:https://github.com/alibaba/fastjson