搜文章
推荐 原创 视频 Java开发 iOS开发 前端开发 JavaScript开发 Android开发 PHP开发 数据库 开发工具 Python开发 Kotlin开发 Ruby开发 .NET开发 服务器运维 开放平台 架构师 大数据 云计算 人工智能 开发语言 其它开发
Lambda在线 > 架构文摘 > 注意:Apache Dubbo 远程代码执行漏洞通告!

注意:Apache Dubbo 远程代码执行漏洞通告!

架构文摘 2020-06-28

点击蓝色“架构文摘”关注我哟

加个“星标”,每天上午 09:25,干货推送!

来源:安全客
原文:https://www.anquanke.com/post/id/209102

0x01 漏洞背景

2020年06月23日, 360CERT监测发现 Apache Dubbo 官方 发布了 Apache Dubbo 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-1948,漏洞等级:高危。

Apache Dubbo 是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。

Apache Dubbo Provider 存在 反序列化漏洞,攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。

该漏洞的相关技术细节已公开。

对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。

0x02 风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 高危
影响面 广泛

0x03 漏洞详情

Apache Dubbo Provider 存在 反序列化漏洞,攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。

0x04 影响版本

  • Dubbo 2.7.0 – 2.7.6

  • Dubbo 2.6.0 – 2.6.7

  • Dubbo 2.5.x (官方不再维护)

0x05 修复建议

通用修补建议:

https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7。

0x06 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现Dubbo在国内均有广泛使用,具体分布如下图所示。

注意:Apache Dubbo 远程代码执行漏洞通告!

0x07 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类漏洞进行监测,请用户联系相关产品区域负责人获取对应产品。

0x08 时间线

  • 2020-06-22 Apache Dubbo 官方发布通告

  • 2020-06-23 360CERT发布预警

end



推荐阅读:



如有收获,点个在看,诚挚感谢

版权声明:本站内容全部来自于腾讯微信公众号,属第三方自助推荐收录。《注意:Apache Dubbo 远程代码执行漏洞通告!》的版权归原作者「架构文摘」所有,文章言论观点不代表Lambda在线的观点, Lambda在线不承担任何法律责任。如需删除可联系QQ:516101458

文章来源: 阅读原文

相关阅读

关注架构文摘微信公众号

架构文摘微信公众号:ArchDigest

架构文摘

手机扫描上方二维码即可关注架构文摘微信公众号

架构文摘最新文章

精品公众号随机推荐