【安全预警】FastJSON < 1.2.60 远程拒绝服务漏洞风险预警

尊敬的腾讯云客户，您好：

近日，腾讯云安全中心监测到开源JSON解析库 FastJSON 1.2.60 以下版本被曝存在远程拒绝服务漏洞，攻击者可利用该漏洞发送精心构造的恶意请求包使服务器内存、CPU等资源耗尽，导致服务不可用。

为避免您的业务受影响，腾讯云安全中心建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

【漏洞详情】

FastJSON 是阿里巴巴开源的JSON解析库，它可以解析JSON格式的字符串，可将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。

经分析，由于 Fastjson 1.2.60 以下版本存在字符串解析异常，攻击者可利用该漏洞发送精心构造的恶意请求包到使用到 Fastjson 的服务器，使服务器内存、CPU等资源耗尽，导致服务不可用。

【风险等级】

高风险

【漏洞风险】

攻击者远程发送攻击包，导致服务器宕机或业务不可用

【影响版本】

Fastjson < 1.2.60

【修复版本】

Fastjson >=1.2.60

【修复建议】

1）升级到 Fastjson 1.2.60版本；

2）推荐采用 Jackson-databind 或者 Gson 等组件。

【备注】：低版本用户升级过程如遇到兼容问题，可升级到对应版本的 sec06 版本或更高版本进行解决。

【漏洞参考】

1）官方讨论：https://github.com/alibaba/fastjson/pull/2692

2019-09-05