预警Apache Dubbo反序列化漏洞CVE-2020-1948补丁被绕过

释放双眼,带上耳机,听听看~!

2020年6月29日,监测到Apache Dubbo GitHub官方发布Pull requests修复了CVE-2020-1948漏洞补丁被绕过现象,Dubbo <=2.7.7版本仍存在反序列化漏洞。目前官方还未发布新版本,漏洞属0day级,风险极大。

预警Apache Dubbo反序列化漏洞CVE-2020-1948补丁被绕过
时间线

2020年6月23日,阿里云发布【漏洞预警】Apache Dubbo反序列化漏洞(CVE-2020-1948)

2020年6月29日,阿里云监测到CVE-2020-1948漏洞补丁被绕过,风险依旧存在。

漏洞描述

Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。Apache Dubbo于2020年6月23日披露在Dubbo Provider中存在一个反序列化远程代码执行漏洞(CVE-2020-1948),官方发布2.7.7版本修复漏洞,但近日该漏洞补丁被绕过,经阿里云工程师测试绕过有效,且目前官方还未发布新版本,漏洞属0day级,风险极大。阿里云应急响应中心提醒Apache Dubbo用户尽快采取安全措施阻止漏洞攻击。

影响版本

Apache Dubbo <=2.7.7

安全版本

暂无安全版本

安全建议

1. 禁止将Dubbo服务端端口开放给公网,或仅仅只对能够连接至Dubbo服务端的可信消费端IP开放。

2. Dubbo协议默认采用Hessian作为序列化反序列化方式,该反序列化方式存在反序列化漏洞。在不影响业务的情况下,建议更换协议以及反序列化方式。具体更换方法可参考:http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html

相关链接

https://github.com/apache/dubbo/pull/6374

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

Dubbo 反序列化漏洞,可导致远程代码执行

2020-6-26 11:12:22

安全漏洞

预警F5 BIG-IP TMUI 远程代码执行漏洞

2020-7-3 17:38:19

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索