點擊上方藍色“程序猿DD”,選擇“設爲星標”
回覆“資源”獲取獨家整理的學習資料!
以下內容轉載自安全客,原文鏈接:https://www.anquanke.com/post/id/209102
0x01 漏洞背景
2020年06月23日, 360CERT監測發現 Apache Dubbo 官方 發佈了 Apache Dubbo 遠程代碼執行 的風險通告,該漏洞編號爲 CVE-2020-1948,漏洞等級:高危。
Apache Dubbo 是一款高性能、輕量級的開源Java RPC框架,它提供了三大核心能力:面向接口的遠程方法調用,智能容錯和負載均衡,以及服務自動註冊和發現。
Apache Dubbo Provider 存在 反序列化漏洞,攻擊者可以通過RPC請求發送無法識別的服務名稱或方法名稱以及一些惡意參數有效載荷,當惡意參數被反序列化時,可以造成遠程代碼執行。
該漏洞的相關技術細節已公開。
對此,360CERT建議廣大用戶及時安裝最新補丁,做好資產自查以及預防工作,以免遭受黑客攻擊。
0x02 風險等級
360CERT對該漏洞的評定結果如下:
威脅等級:高危
影響面:廣泛
0x03 漏洞詳情
Apache Dubbo Provider 存在 反序列化漏洞,攻擊者可以通過RPC請求發送無法識別的服務名稱或方法名稱以及一些惡意參數有效載荷,當惡意參數被反序列化時,可以造成遠程代碼執行。
0x04 影響版本
Dubbo 2.7.0 – 2.7.6
Dubbo 2.6.0 – 2.6.7
Dubbo 2.5.x (官方不再維護)
0x05 修復建議
通用修補建議:
建議廣大用戶及時升級到2.7.7或更高版本,下載地址爲:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7。
0x06 相關空間測繪數據
360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪,發現Dubbo在國內均有廣泛使用,具體分佈如下圖所示。
0x07 產品側解決方案
360城市級網絡安全監測服務
360安全大腦的QUAKE資產測繪平臺通過資產測繪技術手段,對該類漏洞進行監測,請用戶聯繫相關產品區域負責人獲取對應產品。
0x08 時間線
2020-06-22 Apache Dubbo 官方發佈通告
2020-06-23 360CERT發佈預警
往期推薦
Spring Boot 2.x基礎教程:Spring Data JPA的多數據源配置
API 面試四連殺:接口如何設計?安全如何保證?簽名如何實現?防重如何實現?
開源|阿里巴巴的國產JDK Dragonwell:龍井
RabbitMQ 的這些騷操作你知道嗎?
自己動手,豐衣足食:從零開始寫個 IDEA 插件,要啥功能就做啥!
兩種寫法的效果一樣,那麼到底哪一種更好呢?
歡迎加入我的知識星球,聊技術、說職場、侃社會。
頭髮很多的中年程序員DD和他的朋友們在這裏期待你的到來!
加入方式:長按下方二維碼噢
本週預告:
【技術圈】分享最近給阿里提的一個數據安全問題
【聊職場】說說公司股權與期權的那些門道
最近更新:
【技術圈】分享最近碰到的API網關的奇怪用法...
【社會人】社會入門最不能忽略的五險一金
我的星球是否適合你?
點擊閱讀原文看看我們都聊過啥?