2020年6月29日,本站安全专题监测到Apache Dubbo GitHub官方发布Pull requests修复了CVE-2020-1948漏洞补丁被绕过现象,Dubbo <=2.7.7版本仍存在反序列化漏洞。目前官方还未发布新版本,漏洞属0day级,风险极大。
时间线
2020年6月23日,安全发布【漏洞预警】Apache Dubbo反序列化漏洞(CVE-2020-1948)
2020年6月29日,安全监测到CVE-2020-1948漏洞补丁被绕过,风险依旧存在。
漏洞描述
Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。Apache Dubbo于2020年6月23日披露在Dubbo Provider中存在一个反序列化远程代码执行漏洞(CVE-2020-1948),官方发布2.7.7版本修复漏洞,但近日该漏洞补丁被绕过,经安全工程师测试绕过有效,且目前官方还未发布新版本,漏洞属0day级,风险极大。本站安全专题提醒Apache Dubbo用户尽快采取安全措施阻止漏洞攻击。
影响版本
Apache Dubbo <=2.7.7
安全版本
暂无安全版本
安全建议
1. 禁止将Dubbo服务端端口开放给公网,或仅仅只对能够连接至Dubbo服务端的可信消费端IP开放。
2. Dubbo协议默认采用Hessian作为序列化反序列化方式,该反序列化方式存在反序列化漏洞。在不影响业务的情况下,建议更换协议以及反序列化方式。具体更换方法可参考:云中心
相关链接
https://github.com/apache/dubbo/pull/6374
安全云中心应急漏洞模块已支持对该漏洞一键检测
我们会关注后续进展,请随时关注官方公告。
内容来自网络,如有侵犯到您的权益,请联系站长QQ7529997,我们将及时处理。
本站安全专题
2020.06.29
