厦门新闻网移动版

　　日前，华为云安全团队检测到应用较广的开源组件Fastjson的多个版本出现拒绝服务漏洞。利用该漏洞，攻击者可构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成业务瘫痪。目前，华为云Web应用防火墙(WAF)提供了对漏洞的防护。

　　影响范围

　　Fastjson 1.2.60以下版本，不包括1.2.60本身。

　　防护方法

　　华为云WAF支持对该漏洞的检测和防护，步骤如下：

　　1、开通WAF;

　　2、将网站域名添加到WAF中并完成域名接入，详细的操作请参见添加防护域名;

　　3、将Web基础防护的状态设置为“拦截”模式，具体方法请参见配置Web基础防护规则;

　　信息安全攻击75%都发生在Web应用层上，为帮助用户防御应用层Web攻击，华为云WAF于2018年正式推出，对网站流量进行多维度检测，发现和拦截诸如SQL注入等常见攻击，结合AI技术智能识别恶意请求，识别和防御未知威胁。目前，WAF平均每天拦截5000万次攻击，累计保障了数十次重大活动，包括华为VMALL商城的P30等手机的数次抢购活动，已成为用户必需的关键安全服务。

　　修复建议

　　建议用户对自身业务所使用的组件进行排查，一旦发现使用了低于1.2.60的版本，即升级到修复后的新版本或1.2.60版本，升级前注意先备份，防止升级失败配置丢失。修复版本下载地址见官方通告。

　　选择华为云，就选择了安全可靠

　　每次爆发严重漏洞，华为云都会第一时间站在您身边，提供最新的防护手段。您在使用华为云的过程中，遇到任何安全问题，都可随时联系我们获取帮助。(张虹)