漏洞预警Apache Dubbo反序列化漏洞

释放双眼,带上耳机,听听看~!

漏洞预警Apache Dubbo反序列化漏洞(CVE-2020-1948)

2020年6月23日,监测到 CVE-2020-1948 Apache Dubbo反序列化漏洞。

漏洞预警Apache Dubbo反序列化漏洞

漏洞描述

Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。Apache Dubbo于2020年6月23日披露在Dubbo Provider中存在一个反序列化远程代码执行漏洞(CVE-2020-1948),攻击者可以构造并发送带有恶意参数负载的RPC请求,当恶意参数被反序列化时将导致远程代码执行。提醒Apache Dubbo用户尽快采取安全措施阻止漏洞攻击。

影响版本

Apache Dubbo 2.7.0 ~ 2.7.6

Apache Dubbo 2.6.0 ~ 2.6.7

Apache Dubbo 2.5.x 所有版本 (官方不再提供支持)。

安全版本

Apache Dubbo >= 2.7.7

安全建议

1. 建议将Dubbo升级至安全版本。下载地址参考 https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

2. 禁止将Dubbo服务端端口开放给公网,或仅仅只对能够连接至Dubbo服务端的可信消费端IP开放。

3. Dubbo协议默认采用Hessian作为序列化反序列化方式,该反序列化方式存在反序列化漏洞。在不影响业务的情况下,建议更换协议以及反序列化方式。具体更换方法可参考:http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html

相关链接

https://www.mail-archive.com/dev@dubbo.apache.org/msg06544.html

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

2019 年热门开源项目中的漏洞增加了一倍以上

2020-6-10 11:12:22

安全漏洞

预警Apache Spark 远程代码执行漏洞

2020-6-24 17:59:36

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索