Fastjson 远程拒绝服务漏洞预警,腾讯御界可以检测

2019-09-05 19:50:47
Fastjson爆出存在远程拒绝服务漏洞,攻击者构造特定json字符串请求,可远程使服务器内存和CPU等资源耗尽,造成拒绝服务。最新的1.2.60版本不受影响,请使用fastjson的用户尽快升级至最新版本,腾讯御界可以检测该风险。

【漏洞简介】

近日,Fastjson爆出存在远程拒绝服务漏洞,攻击者构造特定json字符串请求,可远程使服务器内存和CPU等资源耗尽,造成拒绝服务。最新的1.2.60版本不受影响,请使用fastjson的用户尽快升级至最新版本,腾讯御界可以检测该风险。

Fastjson简介

Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种假定有序快速匹配的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。

【风险评级】高危

【影响范围】

受影响版本

fastjson < 1.2.60

fastjson sec < sec06

不受影响版本

fastjson >= 1.2.60

fastjson sec >= sec06

【漏洞分析】

issue修改记录可知,Fastjson在处理\x转义字符时,没有进行格式判断,当识别到字符串为\x为开头时,默认获取\x后两位字符当成十六进制字符来处理。问题在于,当字符串是以\x结尾时,由于fastjson未进行十六进制格式校验,不断地尝试读取EOF字符,最终导致OOM(内存溢出)

腾讯御界可以检测该风险

【修复建议】

尽快升级到不受影响版本,下载链接参考:

http://repo1.maven.org/maven2/com/alibaba/fastjson/

【参考资料】

https://github.com/alibaba/fastjson/pull/2692


最新资讯