无码一区二区三区,亚洲精品久久久久久一区二区,好吊视频一区二区三区,亚洲精品一区中文字幕乱码

官方公告

了解金山云最新公告

公告 > 安全公告 > Apache Dubbo 遠(yuǎn)程代碼執(zhí)行漏洞補(bǔ)丁可被繞過
Apache Dubbo 遠(yuǎn)程代碼執(zhí)行漏洞補(bǔ)丁可被繞過

2020-07-01 00:00:00

近日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到Apache Dubbo遠(yuǎn)程代碼執(zhí)行漏洞的修復(fù)補(bǔ)丁仍可被繞過。Dubbo ≤2.7.7版本仍存在遠(yuǎn)程代碼執(zhí)行漏洞。


目前官方尚未發(fā)布新版本,該漏洞風(fēng)險(xiǎn)極大,請(qǐng)相關(guān)用戶盡快排查并采取防護(hù)措施。


漏洞描述


Apache Dubbo是一種基于Java的高性能RPC框架,使應(yīng)用可通過高性能的 RPC 實(shí)現(xiàn)服務(wù)的輸出和輸入功能,可以和 Spring 框架無縫集成,應(yīng)用廣泛影響面較大。


6月23日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到Apache Dubbo 發(fā)布Dubbo 2.7.7版本,修復(fù)Provider默認(rèn)反序列化遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2020-1948)。近日,金山云安全應(yīng)急響應(yīng)中心發(fā)現(xiàn)該修復(fù)補(bǔ)丁可被繞過,風(fēng)險(xiǎn)仍然存在。經(jīng)金山云安全團(tuán)隊(duì)分析,攻擊者可以發(fā)送帶有無法識(shí)別的服務(wù)名或方法名的RPC請(qǐng)求,以及一些惡意的參數(shù)負(fù)載。當(dāng)惡意參數(shù)被反序列化時(shí),可執(zhí)行惡意代碼。


風(fēng)險(xiǎn)等級(jí)


高危


影響版本


Apache Dubbo ≤2.7.7版本


修復(fù)建議


目前官方尚未發(fā)布安全版本,受影響的用戶可以采取以下暫緩措施:

1. 升級(jí)至2.7.7版本,并對(duì)入?yún)㈩愋瓦M(jìn)行檢驗(yàn);具體請(qǐng)參考:

https://github.com/apache/dubbo/pull/6374/commits/8fcdca112744d2cb98b349225a4aab365af563de

2. 關(guān)閉對(duì)公網(wǎng)開放的Dubbo服務(wù)端端口,僅允許可信任的IP訪問;

3. Dubbo協(xié)議默認(rèn)使用Hessian進(jìn)行序列化和反序列化。在不影響業(yè)務(wù)的情況下,建議更換協(xié)議以及反序列化方式。具體請(qǐng)參考:

http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html



參考鏈接

https://github.com/apache/dubbo/pull/6374

https://www.mail-archive.com/dev@dubbo.apache.org/msg06544.html



北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2020/07/01


东丰县| 黄石市| 宜春市| 长乐市| 鄯善县| 开封市| 秭归县| 仪征市| 嘉峪关市| 涿州市| 铁岭市| 荥阳市| 太原市| 家居| 新营市| 思茅市| 仙桃市| 中西区| 招远市| 拉萨市| 扶沟县| 巴马| 闽清县| 从化市| 乌兰浩特市| 安康市| 顺义区| 吉林市| 东兴市| 卓尼县| 阜康市| 吉木萨尔县| 彰化县| 兰坪| 壤塘县| 都匀市| 合山市| 法库县| 蕲春县| 西昌市| 芜湖县|