最新漏洞简讯Apache Dubbo反序列化漏洞安全风险通告

Posted 2021-04-05 SecMind安全管家

情报编号：W1220200723

漏洞概述

Apache Dubbo是一个分布式框架，致力于提供高性能透明化的RPC远程服务调用方案，以及SOA服务治理方案。Apache Dubbo在实际应用场景中主要负责解决分布式的相关需求。

6.23日，Apache Dubbo披露了一个反序列化漏洞。官方已经发布Dubbo 2.7.7修复了该漏洞。

6月29日，Apache Dubbo GitHub上有一个Pull Request表示Dubbo 2.7.7依然存在安全问题，该Pull Request指出Dubbo并未对内置方法进行参数类型检测，经分析并测试该问题属实。

6月30日，Apache Dubbo又被发现存在多个漏洞触发点，经过研究发现此次的多个漏洞触发点能够造成严重影响。

漏洞危害

远程攻击者可以通过发送带有无法识别的服务、方法名称或带有恶意参数的RPC请求对此漏洞进行利用，成功时可造成恶意代码执行。

影响范围

Apache Dubbo < 2.7.8

修复方案

目前Apache Dubbo官方已发布Apache Dubbo 2.7.8最新版本，请立即更新到Apache Dubbo 2.7.8版本并开启白名单功能。

1.手动开启白名单

白名单开启方法：-Ddubbo.application.hessian2.whitelist=true

关于我们

一周精彩回顾

昨日：

周二：

周三：