JAVA安全网JAVA安全网

生命不息,折腾不止。
--JAVA人自留地。

Apache Dubbo Provider默认反序列化远程代码执行漏洞公告(CVE-2020-1948)

WX20200623-150241@2x.png

简介

Apache Dubbo 是一个分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。简单的说,dubbo就是个服务框架,如果没有分布式的需求,其实是不需要用的,只有在分布式的时候,才有dubbo这样的分布式服务框架的需求,并且本质上是个服务调用的东东,说白了就是个远程服务调用的分布式框架(告别Web Service模式中的WSdl,以服务者与消费者的方式在dubbo上注册。功能包含(远程通讯、集群容错、自动发现)

腾讯安全玄武实验室研究员发现,该漏洞会影响所有使用2.7.6或更低版本的Dubbo用户,攻击者可以发送带有无法识别的服务名或方法名的RPC请求,以及一些恶意的参数负载。当恶意参数被反序列化时,它将执行一些恶意代码。

风险等级

高风险

影响版本

  • Apache Dubbo 2.7.0 ~ 2.7.6
  • Apache Dubbo 2.6.0 ~ 2.6.7
  • Apache Dubbo 2.5.x 所有版本

修复版本

Apache Dubbo 2.7.7及以上更高版本
修复地址: https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

漏洞Email

https://lists.apache.org/thread.html/rd4931b5ffc9a2b876431e19a1bffa2b4c14367260a08386a4d461955%40%3Cdev.dubbo.apache.org%3E

未经允许不得转载:JAVA安全网 » Apache Dubbo Provider默认反序列化远程代码执行漏洞公告(CVE-2020-1948)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址