Dubbo爆反序列化漏洞,赶快升级到稳定版本!
Posted Java面试那些事儿
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Dubbo爆反序列化漏洞,赶快升级到稳定版本!相关的知识,希望对你有一定的参考价值。
# 漏洞描述
Apache Dubbo默认反序列化协议Hessian2被曝存在代码执行漏洞,攻击者可利用漏洞构建一个恶意请求达到远程代码执行的目的。
Apache Dubbo 是一种基于 Java 的高性能 RPC 框架。该项目最初由阿里巴巴开发,于 2011 年开源,并于 2018 年 2 月进入 Apache 孵化器,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
目前被多家公司采用,包括阿里巴巴集团、中国人寿、中国电信、当当网、滴滴出行、海尔和中国工商银行等。
# 漏洞编号
# 漏洞等级
中等风险
# 受影响的版本
Dubbo 2.7.0 ~ 2.7.7
Dubbo 2.6.0 ~ 2.6.8
Dubbo 所有 2.5.x 版本 (官方已不再提供支持)
# 安全版本
Dubbo 2.7.8
Dubbo 3.2.9
# 漏洞修复方案
将Apache Dubbo升级至安全版本。
# 参考链接
https://www.mail-archive.com/dev@dubbo.apache.org/msg06676.html
往期推荐
以上是关于Dubbo爆反序列化漏洞,赶快升级到稳定版本!的主要内容,如果未能解决你的问题,请参考以下文章 Apache Dubbo 存在反序列化漏洞(CVE-2023-23638)