*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。
一、前言
Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
二、漏洞简介
Fastjson 1.2.60版本以下存在字符串解析异常。
三、漏洞危害
经斗象安全应急响应团队分析Fastjson多个版本存在远程拒绝服务漏洞,Fastjson 1.2.60版本以下存在字符串解析异常,可导致远程拒绝服务攻击。攻击者即可通过精心构造的请求包对使用Fastjson的服务器造成远程拒绝服务攻击,可导致服务器宕机。
四、影响范围
产品
Fastjson
版本
1.2.60以下版本
组件
Fastjson
五、漏洞复现
经本地测试发现,此漏洞可导致服务器CPU/RAM过载,造成服务器宕机。
六、修复方案
1、升级Fastjson到1.2.60版本
2、建议尽可能使用Jackson或者Gson
七、参考
来源:freebuf.com 2019-09-05 15:46:48 by: 斗象智能安全平台
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
喜欢就支持一下吧
请登录后发表评论
注册