【漏洞通告】Apache Dubbo Provider默認反序列化遠程代碼執行漏洞(CVE-2020-1948)補丁繞過通告
原創 威脅對抗能力部 [綠盟科技安全情報](javascript:void(0)😉 昨天
通告編號:NS-2020-0038-1
2020-06-30
TA****G: | Apache Dubbo、反序列化、CVE-2020-1948、補丁繞過 |
---|---|
漏洞危害: | 攻擊者利用此漏洞,可實現遠程代碼執行。 |
版本: | 1.1 |
1
漏洞概述
6月23日,Apache Dubbo發佈安全公告披露Provider默認反序列化導致的遠程代碼執行漏洞(CVE-2020-1948),攻擊者可以發送帶有無法識別的服務名或方法名及某些惡意參數負載的RPC請求,當惡意參數被反序列化時將導致代碼執行。官方發佈2.7.7版本對此漏洞進行了修復,但近日發現該修復補丁被繞過,漏洞仍可以觸發,目前官方還沒有發佈更新的補丁。請相關用戶儘快排查並採取防護措施。
Dubbo 是阿里巴巴公司開源的一款高性能Java RPC框架,使應用可通過高性能的 RPC 實現服務的輸出和輸入功能,可以和 Spring 框架無縫集成。
參考鏈接:
https://www.mail-archive.com/[email protected]/msg06544.html
https://github.com/apache/dubbo/pull/6374
SEE MORE →
2影響範圍
受影響版本
- Apache Dubbo 2.7.0 - 2.7.7
- Apache Dubbo 2.6.0 - 2.6.7
- Apache Dubbo 2.5.x 所有版本 (官方不再支持)
3漏洞檢測
3.1 版本檢測
一:相關用戶可在Dubbo的Web日誌界面查看當前的Dubbo版本號,路徑爲/log.html或/sysinfo/logs
二:用戶也可在項目的pom.xml文件中查看當前使用的Dubbo版本號
若版本在受影響範圍內即存在安全風險。
3.2 產品檢測
綠盟科技遠程安全評估系統(RSAS)已具備針對此漏洞(CVE-2020-1948)的掃描檢測能力,請有部署設備的用戶升級至最新版本使用。
升級包版本號 | 升級包下載鏈接 | |
---|---|---|
RSAS V6 系統插件包 | V6.0R02F01.1901 | http://update.nsfocus.com/update/downloads/id/106109 |
關於RSAS的配置指導,請參考如下鏈接:
https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg
4漏洞防護
4.1 防護措施
目前官方暫未針對此漏洞的補丁繞過發佈更新,請相關用戶保持關注,官方鏈接:https://github.com/apache/dubbo/releases
受影響的用戶可採用下列措施進行防護:
\1. 升級Dubbo 至2.7.7版本,並對入參類型進行檢驗,參考鏈接:https://github.com/apache/dubbo/pull/6374/commits/8fcdca112744d2cb98b349225a4aab365af563de
\2. 關閉對公網開放的Dubbo服務端端口,僅允許可信任的IP訪問。
\3. Dubbo協議默認使用Hessian進行序列化和反序列化。在不影響業務的情況下,建議更換協議以及反序列化方式。具體方法請參考官方文檔:http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html
轉載自https://mp.weixin.qq.com/s/HXQ6HlgTRw1epmmuLQSRmQ