【漏洞详情】
近日,Fastjson项目发布1.2.60版本修复了之前版本的内存溢出漏洞,该漏洞源于Fastjson在处理\x转义字符时没有对转义字符后的字符进行有效性校验,程序无法正常触发结束条件,从而不断地读取EOF 字符,并申请存储空间,最终导致内存溢出。攻击者只需发送简单构造的请求报文,即可消耗服务器内存资源而拒绝服务。
【风险评级】
高危
【影响范围】
fastjson < 1.2.60
fastjson sec版本 < sec06
【修复建议】
建议受影响用户综合评估漏洞风险和业务影响,升级fastjson 1.2.60到最新版本,版本下载地址:http://repo1.maven.org/maven2/com/alibaba/fastjson/
注意:较低版本升级至1.2.60版本可能会出现兼容性问题,建议升级至特定版本的sec06 bugfix版本。
【参考链接】
https://github.com/alibaba/fastjson/pull/2692
特别提醒:修复漏洞前请进行充分测试,并务必做好数据备份和快照,防止出现意外。
平安云
2019年9月6日