高危漏洞!华为云提供Fastjson原创执行漏洞的检测和防护

2019-07-15 11:15 稿源:用户投稿  0条评论

日前,华为云应急响应中心检测到开源组件Fastjson存在远程代码执行漏洞,这一漏洞非常严重。利用该漏洞,恶意攻击者可以构造攻击,直接获取服务器权限。获得服务器权限后,攻击者几乎可以做任何事情,包括窃取服务器上的数据、上传病毒木马、执行各种恶意命令等。目前,华为云漏洞扫描服务已经提供了该漏洞的精准发现,华为云web应用防火墙提供了对漏洞的安全防护。

影响范围

Fastjson 1.2. 51 以下的版本,不包括Fastjson 1.2. 51 版本。

修复方法

建议用户升级到1.2. 51 版本或者最新的1.2. 58 版本。

防护方法

漏洞扫描服务和Web应用防火墙内置的防护规则支持对该漏洞的检测和防护,步骤如下:

1、开启漏洞扫描服务,检测哪些服务器上存在该插件和漏洞。

2、开通Web应用防火墙。

3、将网站域名添加到Web应用防火墙中并完成域名接入,详细的操作请参见添加防护域名。

4、将Web基础防护的状态设置为“拦截”模式,具体方法请参见配置Web基础防护规则。

漏洞扫描服务采用web2. 0 爬虫技术,漏洞发现准确率高于95%,提供了Web漏洞扫描、操作系统漏洞扫描、资产内容合规检测、配置基线扫描、弱密码检测五大核心功能,目前已为数千个企业发现几十万个漏洞,涵盖行业包括但不限于:政府、教育、电商、金融、媒体等。

信息安全攻击75%都发生在Web应用层上,为帮助用户防御应用层Web攻击,华为云Web应用防火墙于 2018 年正式推出,对网站流量进行多维度检测,发现和拦截诸如SQL注入等常见攻击,结合AI技术智能识别恶意请求,识别和防御未知威胁。目前,Web应用防火墙平均每天拦截 4000 万次攻击,累计保障了数十次重大活动,包括华为VMALL商城的MATE20 等手机的数次抢购活动,已成为了用户必须的关键安全服务。

每次严重漏洞的出现,华为云都会站在用户身边,第一时间响应,提供最新的防护手段。用户在使用华为云的过程中,如遇到任何安全相关的问题,都可随时联系我们,获取安全专家的帮助。

2019 华为全联接大会 开始售票

9 月 18 至 20 日,第四届华为全联接大会即将举办。坐标上海世博中心、世博展览馆,华为将在这里,携手来自全球的ICT产业各方,共同探讨产业发展方向和未来机遇,碰撞思想、分享实践、切磋交流、动手体验…

即刻加入华为全联接大会,与我们一起共创智能新高度!购票路径:进入华为官网,下拉到底新闻&展会展会活动— 2019 华为全联接大会;或直接网页搜索“ 2019 华为全联接大会”获知更多详细信息。

image.png

本文由站长之家用户投稿,未经站长之家同意,严禁转载。如广大用户朋友,发现稿件存在不实报道,欢迎读者反馈、纠正、举报问题(反馈入口)。

免责声明:本文为用户投稿的文章,站长之家发布此文仅为传递信息,不代表站长之家赞同其观点,不对对内容真实性负责,仅供用户参考之用,不构成任何投资、使用建议。请读者自行核实真实性,以及可能存在的风险,任何后果均由读者自行承担。

声明:本文转载自第三方媒体,如需转载,请联系版权方授权转载。协助申请

相关文章

相关热点

查看更多