【風(fēng)險通告】Apache Dubbo遠(yuǎn)程代碼執(zhí)行漏洞
2020-06-23 00:00:00
2020年6月23日��,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到Apache Dubbo披露了Provider默認(rèn)反序列化遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2020-1948)���,攻擊者可構(gòu)造惡意請求執(zhí)行任意代碼����。
該漏洞影響面較大�����,建議用戶及時更新到安全版本,做好資產(chǎn)自查及預(yù)防工作�,避免不必要的損失。
漏洞名稱
Apache Dubbo遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2020-1948)
風(fēng)險等級
高危
漏洞描述
Apache Dubbo是一種基于Java的高性能RPC框架����。2011年開源,2018年2月進(jìn)入Apache孵化器���,它提供了三大核心能力:面向接口的遠(yuǎn)程方法調(diào)用�����,智能容錯和負(fù)載均衡����,以及服務(wù)自動注冊和發(fā)現(xiàn)����。目前已被多家大型企業(yè)網(wǎng)絡(luò)采用�,影響面較大。
經(jīng)金山云安全團(tuán)隊分析�����,攻擊者可以發(fā)送帶有無法識別的服務(wù)名或方法名的RPC請求,以及一些惡意的參數(shù)負(fù)載���。當(dāng)惡意參數(shù)被反序列化時�����,可執(zhí)行惡意代碼�。
影響版本
Apache Dubbo 2.7.0 to 2.7.6
Apache Dubbo 2.6.0 to 2.6.7
Apache Dubbo all 2.5.x versions (官方已不再提供支持)
修復(fù)建議
官網(wǎng)已發(fā)布漏洞修復(fù)版本�����,金山云安全專家建議盡快更新到安全版本�,下載地址:
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7
注意:升級前做好備份,避免出現(xiàn)意外
參考鏈接
https://www.mail-archive.com/dev@dubbo.apache.org/msg06544.html
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/06/23