【漏洞通告】Apache Dubbo Provider默認反序列化遠程代碼執行漏洞(CVE-2020-1948)通告
原創 威脅對抗能力部 [綠盟科技安全情報](javascript:void(0)😉 今天
通告編號:NS-2020-0038
2020-06-23
| TA****G: | Apache Dubbo、反序列化、CVE-2020-1948 |
|---|---|
| 漏洞危害: | 高,攻擊者利用此漏洞,可實現遠程代碼執行。 |
| 應急等級: | 藍色 |
| 版本: | 1.0 |
1
漏洞概述
6月23日,Apache Dubbo發佈安全公告披露Provider默認反序列化導致的遠程代碼執行漏洞(CVE-2020-1948),攻擊者可以發送帶有無法識別的服務名或方法名及某些惡意參數負載的RPC請求,當惡意參數被反序列化時將導致代碼執行。請相關用戶採取措施進行防護。
Dubbo 是阿里巴巴公司開源的一款高性能Java RPC框架,使應用可通過高性能的RPC實現服務的輸出和輸入功能,可以和Spring框架無縫集成。
綠盟科技梅花K戰隊第一時間對此漏洞進行了復現:
參考鏈接:
https://www.mail-archive.com/[email protected]/msg06544.html
SEE MORE →
2影響範圍
受影響版本
- Apache Dubbo 2.7.0 - 2.7.6
- Apache Dubbo 2.6.0 - 2.6.7
- Apache Dubbo 2.5.x 所有版本 (官方不再支持)
不受影響版本
- Apache Dubbo >= 2.7.7
3版本檢測
一:相關用戶可在Dubbo的Web日誌界面查看當前的Dubbo版本號,目錄爲/log.html或/sysinfo/logs
二:用戶也可在項目的pom.xml文件中查看當前使用的Dubbo版本號
若版本在受影響範圍內即存在安全風險。
4漏洞防護
4.1 官方升級
目前官方已在最新版本中修復了該漏洞,請受影響的用戶儘快升級版本進行防護,官方下載鏈接:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7
升級參考文檔:http://dubbo.apache.org/zh-cn/docs/user/versions/version-270.html
注:爲防止出現意外建議升級前做好數據備份。
轉載自https://mp.weixin.qq.com/s/iKQbdWrMG00Arg0aEUbrXQ