1. 首页
  2. 网络安全新闻

Fastjson远程拒绝服务漏洞

一、前言

Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。

二、漏洞简介

Fastjson 1.2.60版本以下存在字符串解析异常。

三、漏洞危害

经斗象安全应急响应团队分析Fastjson多个版本存在远程拒绝服务漏洞,Fastjson 1.2.60版本以下存在字符串解析异常,可导致远程拒绝服务攻击。攻击者即可通过精心构造的请求包对使用Fastjson的服务器造成远程拒绝服务攻击,可导致服务器宕机。

四、影响范围

产品

Fastjson

版本

1.2.60以下版本

组件

Fastjson

五、漏洞复现

经本地测试发现,此漏洞可导致服务器CPU/RAM过载,造成服务器宕机。

Fastjson远程拒绝服务漏洞

六、修复方案

1、升级Fastjson到1.2.60版本

2、建议尽可能使用Jackson或者Gson

文章来源:【安全时代】 原文链接:https://www.agesec.com/news/7065.html

安全时代全部内容仅适用于网络安全技术爱好者学习研究,学习中请遵循国家相关法律法规。

安全时代全部数据来源互联网,不代表安全时代立场,如侵犯您权益可邮箱联系我们,详情:版权纠纷

发表评论

电子邮件地址不会被公开。 必填项已用*标注