【風險通告】Apache Dubbo遠程代碼執(zhí)行漏洞
2020-06-23 00:00:00
2020年6月23日�,金山云安全應急響應中心監(jiān)測到Apache Dubbo披露了Provider默認反序列化遠程代碼執(zhí)行漏洞(CVE-2020-1948)���,攻擊者可構造惡意請求執(zhí)行任意代碼。
該漏洞影響面較大��,建議用戶及時更新到安全版本����,做好資產(chǎn)自查及預防工作,避免不必要的損失���。
漏洞名稱
Apache Dubbo遠程代碼執(zhí)行漏洞(CVE-2020-1948)
風險等級
高危
漏洞描述
Apache Dubbo是一種基于Java的高性能RPC框架�����。2011年開源�����,2018年2月進入Apache孵化器��,它提供了三大核心能力:面向接口的遠程方法調用����,智能容錯和負載均衡�����,以及服務自動注冊和發(fā)現(xiàn)。目前已被多家大型企業(yè)網(wǎng)絡采用�,影響面較大�����。
經(jīng)金山云安全團隊分析���,攻擊者可以發(fā)送帶有無法識別的服務名或方法名的RPC請求�����,以及一些惡意的參數(shù)負載��。當惡意參數(shù)被反序列化時���,可執(zhí)行惡意代碼。
影響版本
Apache Dubbo 2.7.0 to 2.7.6
Apache Dubbo 2.6.0 to 2.6.7
Apache Dubbo all 2.5.x versions (官方已不再提供支持)
修復建議
官網(wǎng)已發(fā)布漏洞修復版本��,金山云安全專家建議盡快更新到安全版本��,下載地址:
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7
注意:升級前做好備份��,避免出現(xiàn)意外
參考鏈接
https://www.mail-archive.com/dev@dubbo.apache.org/msg06544.html
北京金山云網(wǎng)絡技術有限公司
2020/06/23