Apache Dubbo 远程代码执行漏洞通告
2020年06月23日, 360CERT监测发现 Apache Dubbo 官方
发布了 Apache Dubbo 远程代码执行
的风险通告,该漏洞编号为 CVE-2020-1948
,漏洞等级:高危
。
Apache Dubbo
是一款高性能、轻量级的开源Java RPC
框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
Apache Dubbo Provider
存在 反序列化漏洞
,攻击者可以通过RPC
请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。
该漏洞的相关技术细节已公开。
对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。
360CERT对该漏洞的评定结果如下
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 广泛 |
Apache Dubbo Provider
存在 反序列化漏洞
,攻击者可以通过RPC
请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。
建议广大用户及时升级到2.7.7或更高版本,下载地址为:
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7