开源组件Fastjson拒绝服务漏洞
2019年09月03日,华为云安全团队检测到应用较广的开源组件Fastjson的多个版本出现拒绝服务漏洞。攻击者利用该漏洞,可构造恶意请求发给使用了Fastjson的服务器,使其内存和CPU耗尽,最终崩溃,造成用户业务瘫痪。目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。
影响的版本范围
漏洞影响的产品版本包括:Fastjson 1.2.60以下版本,不包括Fastjson 1.2.60版本。
安全版本
Fastjson 1.2.60版本。
官方解决方案
建议用户将开源组件Fastjson升级到1.2.60版本。
防护建议
WAF支持对该漏洞的检测和防护,步骤如下:
- 购买WAF。
- 将网站域名添加到WAF中并完成域名接入,详细的操作请参见添加防护域名。
- 将Web基础防护的状态设置为“拦截”模式,具体方法请参见配置Web基础防护规则。