【风险通告】Apache Dubbo远程代码执行漏洞
2020年6月23日,金山云安全应急响应中心监测到Apache Dubbo披露了Provider默认反序列化远程代码执行漏洞(CVE-2020-1948),攻击者可构造恶意请求执行任意代码。
该漏洞影响面较大,建议用户及时更新到安全版本,做好资产自查及预防工作,避免不必要的损失。
漏洞名称
Apache Dubbo远程代码执行漏洞
漏洞编号
CVE-2020-1948
风险等级
高危
漏洞描述
Apache Dubbo是一种基于Java的高性能RPC框架。2011年开源,2018年2月进入Apache孵化器,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。目前已被多家大型企业网络采用,影响面较大。
经金山云安全团队分析,攻击者可以发送带有无法识别的服务名或方法名的RPC请求,以及一些恶意的参数负载。当恶意参数被反序列化时,可执行恶意代码。
影响版本
Apache Dubbo 2.7.0 to 2.7.6
Apache Dubbo 2.6.0 to 2.6.7
Apache Dubbo all 2.5.x versions (官方已不再提供支持)
修复方案
官网已发布漏洞修复版本,金山云安全专家建议尽快更新到安全版本
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7
注意:升级前做好备份,避免出现意外
参考链接
https://www.mail-archive.com/[email protected]/msg06544.html
北京金山云网络技术有限公司
2020/06/23