【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)通告
【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)通告
原创 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)???? 今天
通告编号:NS-2020-0038
2020-06-23
| TA****G: | Apache Dubbo、反序列化、CVE-2020-1948 |
|---|---|
| 漏洞危害: | 高,攻击者利用此漏洞,可实现远程代码执行。 |
| 应急等级: | 蓝色 |
| 版本: | 1.0 |
1
漏洞概述
6月23日,Apache Dubbo发布安全公告披露Provider默认反序列化导致的远程代码执行漏洞(CVE-2020-1948),攻击者可以发送带有无法识别的服务名或方法名及某些恶意参数负载的RPC请求,当恶意参数被反序列化时将导致代码执行。请相关用户采取措施进行防护。
Dubbo 是阿里巴巴公司开源的一款高性能Java RPC框架,使应用可通过高性能的RPC实现服务的输出和输入功能,可以和Spring框架无缝集成。
绿盟科技梅花K战队第一时间对此漏洞进行了复现:
参考链接:
https://www.mail-archive.com/[email protected]/msg06544.html
SEE MORE →
2影响范围
受影响版本
- Apache Dubbo 2.7.0 - 2.7.6
- Apache Dubbo 2.6.0 - 2.6.7
- Apache Dubbo 2.5.x 所有版本 (官方不再支持)
不受影响版本
- Apache Dubbo >= 2.7.7
3版本检测
一:相关用户可在Dubbo的Web日志界面查看当前的Dubbo版本号,目录为/log.html或/sysinfo/logs
二:用户也可在项目的pom.xml文件中查看当前使用的Dubbo版本号
若版本在受影响范围内即存在安全风险。
4漏洞防护
4.1 官方升级
目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7
升级参考文档:http://dubbo.apache.org/zh-cn/docs/user/versions/version-270.html
注:为防止出现意外建议升级前做好数据备份。
转载自https://mp.weixin.qq.com/s/iKQbdWrMG00Arg0aEUbrXQ