2019年09月03日，华为云安全团队检测到应用较广的开源组件Fastjson的多个版本出现拒绝服务漏洞。攻击者利用该漏洞，可构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。目前，华为云Web应用防火墙（Web Application Firewall，WAF）提供了对该漏洞的防护。

影响的版本范围

漏洞影响的产品版本包括：Fastjson 1.2.60以下版本，不包括Fastjson 1.2.60版本。

安全版本

Fastjson 1.2.60版本。

官方解决方案

建议用户将开源组件Fastjson升级到1.2.60版本。

防护建议

WAF支持对该漏洞的检测和防护，步骤如下：

购买WAF。
将网站域名添加到WAF中并完成域名接入，详细的操作请参见添加防护域名。
将Web基础防护的状态设置为“拦截”模式，具体方法请参见配置Web基础防护规则。

父主题： Web漏洞防护最佳实践

同意关联代理商云淘科技，购买华为云产品更优惠（QQ 78315851）

内容没看懂？ 不太想学习？想快速解决？ 有偿解决： 联系专家