最新!Dubbo 遠程代碼執行漏洞通告,速度升級


0x01 漏洞背景

2020年06月23日, 360CERT監測發現 Apache Dubbo 官方 發布了 Apache Dubbo 遠程代碼執行的風險通告,該漏洞編號為 CVE-2020-1948,漏洞等級:高危

Apache Dubbo 是一款高性能、輕量級的開源Java RPC框架,它提供了三大核心能力:面向接口的遠程方法調用,智能容錯和負載均衡,以及服務自動注冊和發現。

Apache Dubbo Provider 存在反序列化漏洞,攻擊者可以通過RPC請求發送無法識別的服務名稱或方法名稱以及一些惡意參數有效載荷,當惡意參數被反序列化時,可以造成遠程代碼執行。

該漏洞的相關技術細節已公開。

對此,360CERT建議廣大用戶及時安裝最新補丁,做好資產自查以及預防工作,以免遭受黑客攻擊。

0x02 風險等級

360CERT對該漏洞的評定結果如下

0x03 漏洞詳情

Apache Dubbo Provider 存在反序列化漏洞,攻擊者可以通過RPC請求發送無法識別的服務名稱或方法名稱以及一些惡意參數有效載荷,當惡意參數被反序列化時,可以造成遠程代碼執行。

0x04 影響版本

  • [Dubbo 2.7.0 – 2.7.6](http://mp.weixin.qq.com/s?__biz=MzI3ODcxMzQzMw==&mid=2247492659&idx=2&sn=f00afc28a6981b83e2cd473db039f622&chksm=eb506105dc27e81393931a70b8086de20a267f187c8b6aad67a817a06d340af3ab5d0987b51d&scene=21#wechat_redirect)
    
  • Dubbo 2.6.0 – 2.6.7

  • Dubbo 2.5.x (官方不再維護)

0x05 修復建議

通用修補建議:

建議廣大用戶及時升級到2.7.7或更高版本,下載地址為:

https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

0x06 相關空間測繪數據

360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪,發現Dubbo在國內均有廣泛使用,具體分布如下圖所示。

0x07 時間線

2020-06-22 Apache Dubbo 官方發布通告

2020-06-23 360CERT發布預警

原文來自:安全客
聲明:本文經安全客授權發布,轉載請聯系安全客平台
鏈接:https://www.anquanke.com/post/id/209102

關注公眾號Java技術棧回復"面試"獲取我整理的2020最全面試題及答案。

推薦去我的博客閱讀更多:

1.Java JVM、集合、多線程、新特性系列教程

2.Spring MVC、Spring Boot、Spring Cloud 系列教程

3.Maven、Git、Eclipse、Intellij IDEA 系列工具教程

4.Java、后端、架構、阿里巴巴等大廠最新面試題

覺得不錯,別忘了點贊+轉發哦!


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM