【漏洞详情】

近日，Fastjson项目发布1.2.60版本修复了之前版本的内存溢出漏洞，该漏洞源于Fastjson在处理\x转义字符时没有对转义字符后的字符进行有效性校验，程序无法正常触发结束条件，从而不断地读取EOF 字符，并申请存储空间，最终导致内存溢出。攻击者只需发送简单构造的请求报文，即可消耗服务器内存资源而拒绝服务。

【风险评级】

高危

【影响范围】

fastjson < 1.2.60

fastjson sec版本 < sec06

【修复建议】

建议受影响用户综合评估漏洞风险和业务影响，升级fastjson 1.2.60到最新版本，版本下载地址：http://repo1.maven.org/maven2/com/alibaba/fastjson/

注意：较低版本升级至1.2.60版本可能会出现兼容性问题，建议升级至特定版本的sec06 bugfix版本。

【参考链接】

https://github.com/alibaba/fastjson/pull/2692

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2019年9月6日