一、概要

近日，華為云安全團(tuán)隊(duì)關(guān)注到業(yè)界爆出Fastjson 1.2.60以下版本存在遠(yuǎn)程拒絕服務(wù)漏洞。由于Fastjson對特定JSON字符串解析異常，攻擊者可通過精心構(gòu)造的請求包對使用Fastjson的服務(wù)器發(fā)起遠(yuǎn)程拒絕服務(wù)攻擊，可導(dǎo)致服務(wù)器CPU/RAM過載，進(jìn)而引起性能下降甚至服務(wù)器宕機(jī)。

參考鏈接：

https://github.com/alibaba/fastjson/pull/2692

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、影響范圍

漏洞影響的產(chǎn)品版本包括：

Fastjson < 1.2.60

Fastjson sec版本 < sec06

安全版本為：

Fastjson >= 1.2.60

或Fastjson sec版本 >= sec06

四、處置方案

升級至Fastjson 安全版本，下載地址：http://repo1.maven.org/maven2/com/alibaba/fastjson/

華為云WAF已默認(rèn)支持對該漏洞的檢測，用戶開啟Web基礎(chǔ)防護(hù)攔截模式后即可實(shí)現(xiàn)防護(hù)。配置方法可參考：

https://support.huaweicloud.com/usermanual-waf/waf_01_0008.html

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。