查看原文
其他

Dubbo 高危反序列化漏洞,存在远程代码执行风险,建议及时升级到2.7.7或更高版本!

安全客 程序猿DD 2020-10-16

点击上方蓝色“程序猿DD”,选择“设为星标”

回复“资源”获取独家整理的学习资料!

以下内容转载自安全客,原文链接:https://www.anquanke.com/post/id/209102

0x01 漏洞背景

2020年06月23日, 360CERT监测发现 Apache Dubbo 官方 发布了 Apache Dubbo 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-1948,漏洞等级:高危。
Apache Dubbo 是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
Apache Dubbo Provider 存在 反序列化漏洞,攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。
该漏洞的相关技术细节已公开。
对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。 

0x02 风险等级

360CERT对该漏洞的评定结果如下:
  • 威胁等级:高危

  • 影响面:广泛

0x03 漏洞详情 
Apache Dubbo Provider 存在 反序列化漏洞,攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。 

0x04 影响版本

  • Dubbo 2.7.0 – 2.7.6

  • Dubbo 2.6.0 – 2.6.7

  • Dubbo 2.5.x (官方不再维护)

0x05 修复建议

通用修补建议:

建议广大用户及时升级到2.7.7或更高版本,下载地址为:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

0x06 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现Dubbo在国内均有广泛使用,具体分布如下图所示。
 

0x07 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类漏洞进行监测,请用户联系相关产品区域负责人获取对应产品。 

0x08 时间线

2020-06-22 Apache Dubbo 官方发布通告
2020-06-23 360CERT发布预警


往期推荐

Spring Boot 2.x基础教程:Spring Data JPA的多数据源配置

API 面试四连杀:接口如何设计?安全如何保证?签名如何实现?防重如何实现?

开源|阿里巴巴的国产JDK  Dragonwell:龙井

RabbitMQ 的这些骚操作你知道吗?

自己动手,丰衣足食:从零开始写个 IDEA 插件,要啥功能就做啥!

两种写法的效果一样,那么到底哪一种更好呢?


欢迎加入我的知识星球,聊技术、说职场、侃社会。

头发很多的中年程序员DD和他的朋友们在这里期待你的到来!

加入方式:长按下方二维码噢

本周预告
【技术圈】分享最近给阿里提的一个数据安全问题
【聊职场】说说公司股权与期权的那些门道

最近更新:
【技术圈】分享最近碰到的API网关的奇怪用法...
【社会人】社会入门最不能忽略的五险一金


我的星球是否适合你?

点击阅读原文看看我们都聊过啥?

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存