释放双眼,带上耳机,听听看~!
2020年2月11日,本站安全专题监测到 CVE-2019-17564 Apache Dubbo反序列化漏洞。
漏洞描述
Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。Dubbo支持使用HTTP协议进行远程过程调用,该协议采用 Spring 的 HttpInvoker 实现,在处理输入流时将会进行反序列化操作。因此当Dubbo在接受到来自消费者的远程恶意调用请求时候,有可能触发恶意反序列化漏洞,导致远程任意代码执行。本站安全专题提醒 Apache Dubbo用户尽快采取安全措施阻止漏洞攻击。
影响版本
Apache Dubbo < 2.7.5
安全版本
Apache Dubbo >= 2.7.5
安全建议
1. 升级至安全版本
2. 禁用HTTP协议,删除类似配置:<dubbo:protocol name=“http” />
