Apache Dubbo 远程代码执行缝隙补丁可被绕过
2020-07-01 00:00:00
近日�,234钱包安全应急响应中心监测到Apache Dubbo远程代码执行缝隙的修复补丁仍可被绕过�。Dubbo ≤2.7.7版本仍存在远程代码执行缝隙�。
目前官方尚未颁布新版本�,该缝隙风险极大�,请有关用户尽快排查并采取防护措施�。
缝隙描述
Apache Dubbo是一种基于Java的高机能RPC框架�,使利用可通过高机能的 RPC 实现服务的输出和输入职能�,能够和 Spring 框架无缝集成�,利用宽泛影响面较大�。
6月23日�,234钱包安全应急响应中心监测到Apache Dubbo 颁布Dubbo 2.7.7版本�,修复Provider默认反序列化远程代码执行缝隙(CVE-2020-1948)�。近日�,234钱包安全应急响应中心发现该修复补丁可被绕过�,风险依然存在�。经234钱包安全团队分析�,攻击者能够发送带有无法识此外服务名或步骤名的RPC要求�,以及一些恶意的参数负载�。当恶意参数被反序列化时�,可执行恶意代码�。
风险等级
高危
影响版本
Apache Dubbo ≤2.7.7版本
修复建议
目前官方尚未颁布安全版本�,受影响的用户能够采取以下暂缓措施:�:
1. 升级至2.7.7版本�,并对入参类型进行检验�;�;具体请参考:�:
https://github.com/apache/dubbo/pull/6374/commits/8fcdca112744d2cb98b349225a4aab365af563de
2. 关闭对公网盛开的Dubbo服务端端口�,仅允许可信赖的IP接见�;�;
3. Dubbo和谈默认使用Hessian进行序列化和反序列化�。在不影响业务的情况下�,建议更换和谈以及反序列化方式�。具体请参考:�:
http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html
参考链接
https://github.com/apache/dubbo/pull/6374
https://www.mail-archive.com/dev@dubbo.apache.org/msg06544.html
北京234钱包网络技术有限公司
2020/07/01