风险通告Apache Dubbo远程代码执行漏洞

Posted 金山云安全

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了风险通告Apache Dubbo远程代码执行漏洞相关的知识,希望对你有一定的参考价值。


2020年6月23日,金山云安全应急响应中心监测到Apache Dubbo披露了Provider默认反序列化远程代码执行漏洞(CVE-2020-1948),攻击者可构造恶意请求执行任意代码。


该漏洞影响面较大,建议用户及时更新到安全版本,做好资产自查及预防工作,避免不必要的损失。


漏洞名称


Apache Dubbo远程代码执行漏洞


漏洞编号


CVE-2020-1948


风险等级


高危


漏洞描述


Apache Dubbo是一种基于Java的高性能RPC框架。2011年开源,2018年2月进入Apache孵化器,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。目前已被多家大型企业网络采用,影响面较大。


经金山云安全团队分析,攻击者可以发送带有无法识别的服务名或方法名的RPC请求,以及一些恶意的参数负载。当恶意参数被反序列化时,可执行恶意代码。


影响版本


Apache Dubbo 2.7.0 to 2.7.6

Apache Dubbo 2.6.0 to 2.6.7

Apache Dubbo all 2.5.x versions (官方已不再提供支持)


修复方案


官网已发布漏洞修复版本,金山云安全专家建议尽快更新到安全版本

https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

 注意:升级前做好备份,避免出现意外


参考链接


https://www.mail-archive.com/dev@dubbo.apache.org/msg06544.html



  

北京金山云网络技术有限公司

2020/06/23

以上是关于风险通告Apache Dubbo远程代码执行漏洞的主要内容,如果未能解决你的问题,请参考以下文章

最新!Dubbo 远程代码执行漏洞通告,速度升级

通告更新Apache Solr模板注入远程代码执行漏洞安全风险通告

最新漏洞简讯Apache Dubbo反序列化漏洞安全风险通告

漏洞风险通告Apache Tomcat Session反序列化远程代码执行漏洞(CVE-2020-9484)

安全通告 | Apache Struts远程代码执行漏洞(CVE-2020-17530)

安全风险通告WebSphere远程代码执行漏洞安全风险通告