开源组件Fastjson拒绝服务漏洞

2019年09月03日，云安全团队检测到应用较广的开源组件Fastjson的多个版本出现拒绝服务漏洞。攻击者利用该漏洞，可构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。目前，Web应用防火墙（Web Application Firewall，WAF）提供了对该漏洞的防护。

影响的版本范围

漏洞影响的产品版本包括：Fastjson 1.2.60以下版本，不包括Fastjson 1.2.60版本。

安全版本

Fastjson 1.2.60版本。

官方解决方案

建议用户将开源组件Fastjson升级到1.2.60版本。

防护建议

WAF支持对该漏洞的检测和防护，步骤如下：

申请WAF独享引擎实例。
将网站域名添加到WAF中并完成域名接入。
- 云模式：添加防护域名。
- 独享模式：步骤一：添加防护网站（独享模式）。
将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则防御常见Web攻击。

父主题： Web漏洞防护最佳实践

上一篇：Apache Dubbo反序列化漏洞

下一篇：开源组件Fastjson远程代码执行漏洞

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消