【漏洞预警】fastjson < 1.2.60 远程拒绝服务漏洞

2019-09-05 19:00:50
Dear user

近日,京东云安全团队监测到开源JSON解析库fastjson被披露存在远程拒绝服务漏洞,攻击者在请求中构造特定请求包,可远程造成服务器内存和CPU等资源耗尽,导致服务不可用。为避免您的业务受影响,京东云安全团队建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被恶意攻击。


【漏洞描述】

fastjson 1.2.60 以下版本存在字符串解析异常,攻击者在请求中构造特定恶意请求可导致服务器内存和CPU等资源耗尽,导致服务不可用。


【风险等级】

高风险


【影响版本】

fastjson < 1.2.60

fastjson sec版本 < sec06


【修复建议】

升级到


fastjson >= 1.2.60

fastjson sec版本 >= sec06


注意:较低版本升级至最新版本1.2.60可能会出现兼容性问题,建议升级至特定版本的sec06 版本


【参考链接】

http://repo1.maven.org/maven2/com/alibaba/fastjson/

https://github.com/alibaba/fastjson/pull/2692


JD Cloud team

2019-09-05 19:00:50