日前，華為云安全團(tuán)隊(duì)檢測到應(yīng)用較廣的開源組件Fastjson的多個版本出現(xiàn)拒絕服務(wù)漏洞。利用該漏洞，攻擊者可構(gòu)造惡意請求發(fā)給使用了Fastjson的服務(wù)器，使其內(nèi)存和CPU耗盡，最終崩潰，造成業(yè)務(wù)癱瘓。目前，華為云Web應(yīng)用防火墻(WAF)提供了對漏洞的防護(hù)。

　　影響范圍

　　Fastjson 1.2.60以下版本，不包括1.2.60本身。

　　防護(hù)方法

　　華為云WAF支持對該漏洞的檢測和防護(hù)，步驟如下：

　　1、開通WAF;

　　2、將網(wǎng)站域名添加到WAF中并完成域名接入，詳細(xì)的操作請參見添加防護(hù)域名;

　　3、將Web基礎(chǔ)防護(hù)的狀態(tài)設(shè)置為“攔截”模式，具體方法請參見配置Web基礎(chǔ)防護(hù)規(guī)則;

　　信息安全攻擊75%都發(fā)生在Web應(yīng)用層上，為幫助用戶防御應(yīng)用層Web攻擊，華為云WAF于2018年正式推出，對網(wǎng)站流量進(jìn)行多維度檢測，發(fā)現(xiàn)和攔截諸如SQL注入等常見攻擊，結(jié)合AI技術(shù)智能識別惡意請求，識別和防御未知威脅。目前，WAF平均每天攔截5000萬次攻擊，累計(jì)保障了數(shù)十次重大活動，包括華為VMALL商城的P30等手機(jī)的數(shù)次搶購活動，已成為用戶必需的關(guān)鍵安全服務(wù)。

　　修復(fù)建議

　　建議用戶對自身業(yè)務(wù)所使用的組件進(jìn)行排查，一旦發(fā)現(xiàn)使用了低于1.2.60的版本，即升級到修復(fù)后的新版本或1.2.60版本，升級前注意先備份，防止升級失敗配置丟失。修復(fù)版本下載地址見官方通告。

　　選擇華為云，就選擇了安全可靠

　　每次爆發(fā)嚴(yán)重漏洞，華為云都會第一時間站在您身邊，提供最新的防護(hù)手段。您在使用華為云的過程中，遇到任何安全問題，都可隨時聯(lián)系我們獲取幫助。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時性本站不作任何保證或承諾，并請自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。