Dubbo爆出高危漏洞！可造成远程代码执行！附解决方案

Posted 2021-04-05 搜云库技术团队

回复“面试题”领《96份：3265页面试题》

0x01 漏洞背景

2020年06月23日， 360CERT监测发现 Apache Dubbo 官方 发布了 Apache Dubbo 远程代码执行 的风险通告，该漏洞编号为 CVE-2020-1948，漏洞等级：高危。

Apache Dubbo 是一款高性能、轻量级的开源Java RPC框架，它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。

Apache Dubbo Provider 存在 反序列化漏洞，攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷，当恶意参数被反序列化时，可以造成远程代码执行。

该漏洞的相关技术细节已公开。

对此，360CERT建议广大用户及时安装最新补丁，做好资产自查以及预防工作，以免遭受黑客攻击。 

0x02 风险等级

360CERT对该漏洞的评定结果如下：

• 威胁等级：高危

• 影响面：广泛

0x03 漏洞详情 

Apache Dubbo Provider 存在 反序列化漏洞，攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷，当恶意参数被反序列化时，可以造成远程代码执行。 

0x04 影响版本

• Dubbo 2.7.0 – 2.7.6

• Dubbo 2.6.0 – 2.6.7

• Dubbo 2.5.x （官方不再维护）

0x05 修复建议

通用修补建议：

建议广大用户及时升级到2.7.7或更高版本，下载地址为：https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7。

0x06 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘，发现Dubbo在国内均有广泛使用，具体分布如下图所示。

 

0x07 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段，对该类漏洞进行监测，请用户联系相关产品区域负责人获取对应产品。 

0x08 时间线

2020-06-22 Apache Dubbo 官方发布通告

2020-06-23 360CERT发布预警

以下内容转载自安全客

https://www.anquanke.com/post/id/209102

往期推荐

《第2版：互联网大厂面试题》

最近又赶上跳槽的高峰期，好多粉丝，都问我要有没有最新面试题，索性，我就把我看过的和我面试中的真题，及答案都整理好，整理了《第2版：互联网大厂面试题》并分类 92份 PDF，累计 3625页！我会持续更新中，马上就出第三版，涵盖大厂算法会更多！

第2版：题库非常全面

包括 Java 集合、JVM、多线程、并发编程、设计模式、Spring全家桶、Java、MyBatis、ZooKeeper、Dubbo、Elasticsearch、Memcached、MongoDB、Redis、mysql、RabbitMQ、Kafka、Linux、Netty、Tomcat、Python、html、CSS、Vue、React、javascript、android 大数据、阿里巴巴等大厂面试题等、等技术栈！

第2版：面试题，怎么领取？

扫码关注，我另一个公众号，架构师专栏

（对，就是我小号）

没错，扫码关注，即可下载

（这是神奇的二维码，你不用回复关键字）