|
【网络安全预警】阿里巴巴的开源JSON解析库Fastjson远程拒绝服务漏洞时间:2019-09-05  普洱IT网,您身边的IT小顾问! 
一 前言 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 二 漏洞简介 Fastjson 1.2.60版本以下存在字符串解析异常。 三 漏洞危害 经斗象安全应急响应团队分析Fastjson多个版本存在远程拒绝服务漏洞,Fastjson 1.2.60版本以下存在字符串解析异常,可导致远程拒绝服务攻击。攻击者即可通过精心构造的请求包对使用Fastjson的服务器造成远程拒绝服务攻击,可导致服务器宕机。 四 影响范围 产品 Fastjson 版本 1.2.60以下版本 组件 Fastjson 五 漏洞复现 经本地测试发现,此漏洞可导致服务器CPU/RAM过载,造成服务器宕机。
六 修复方案 1、升级Fastjson到1.2.60版本 2、建议尽可能使用Jackson或者Gson 七 参考 https://github.com/alibaba/fastjson 【互-动】
↓↓↓ 在评论区写下你的留言吧!
|
