【风险公告】Apache Dubbo远程代码执行缝隙
2020-06-23 00:00:00
2020年6月23日�,234钱包安全应急响应中心监测到Apache Dubbo披露了Provider默认反序列化远程代码执行缝隙(CVE-2020-1948)�,攻击者可机关恶意要求执行肆意代码�。
该缝隙影响面较大�,建议用户实时更新到安全版本�,做好资产自查及预防工作�,预防不用要的损失�。
缝隙名称
Apache Dubbo远程代码执行缝隙(CVE-2020-1948)
风险等级
高危
缝隙描述
Apache Dubbo是一种基于Java的高机能RPC框架�。2011年开源�,2018年2月进入Apache孵化器�,它提供了三大主题能力�::�:面向接口的远程步骤挪用�,智能容错和负载平衡�,以及服务自动注册和发现�。目前已被多家大型企业网络选取�,影响面较大�。
经234钱包安全团队分析�,攻击者能够发送带有无法识此外服务名或步骤名的RPC要求�,以及一些恶意的参数负载�。当恶意参数被反序列化时�,可执行恶意代码�。
影响版本
Apache Dubbo 2.7.0 to 2.7.6
Apache Dubbo 2.6.0 to 2.6.7
Apache Dubbo all 2.5.x versions (官方已不再提供支持)
修复建议
官网已颁布缝隙修复版本�,234钱包安全专家建议尽快更新到安全版本�,下载地址�::�:
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7
把稳�::�:升级前做好备份�,预防出现不测
参考链接
https://www.mail-archive.com/dev@dubbo.apache.org/msg06544.html
北京234钱包网络技术有限公司
2020/06/23