搜文章
推荐 原创 视频 Java开发 iOS开发 前端开发 JavaScript开发 Android开发 PHP开发 数据库 开发工具 Python开发 Kotlin开发 Ruby开发 .NET开发 服务器运维 开放平台 架构师 大数据 云计算 人工智能 开发语言 其它开发
Lambda在线 > 安全圈 > 【安全圈】Apache Dubbo高危漏洞,官方已发布修复版本!速修复

【安全圈】Apache Dubbo高危漏洞,官方已发布修复版本!速修复

安全圈 2020-06-26

6月23号,开源框架Apache Dubbo披露了一项默认反序列化远程代码执行漏洞(CVE-2020-1948)和相应的修复方案。该漏洞由腾讯安全玄武实验室研究员于去年11月首次提交。
【安全圈】Apache Dubbo高危漏洞,官方已发布修复版本!速修复
  Apache Dubbo擅长处理分布式和微服务系统远程调用。 据Apache 官方信息显示,包括阿里巴巴、网易云音乐、去哪儿、中国人寿、中国电信、当当网、滴滴出行、海尔和中国工商银行等在内的150多家企业使用该框架进行分布式系统和微服务集群的构建。此次漏洞被定义为高危漏洞,攻击者可以发送未经验证的服务名或方法名的RPC请求,同时配合附加恶意的参数负载。当恶意参数被反序列化时,它将执行恶意代码。理论上所有使用这个框架开发的产品都会受到影响,可能会导致不同程度的业务风险,最严重的可能导致服务器被攻击者控制。
  目前Apache Dubbo已经发布了2.7.7版本,并通知开发者通过升级新版本来规避该漏洞的影响。腾讯安全玄武实验室建议,因无法直接通过与该服务交互来判断Dubbo的版本,建议用户通过排查Dubbo所使用的注册中心(如zookeeper、 redis、nacos等)中所标示的Dubbo服务端版本号来确定,由此来做对应的防护以及修复处理。腾讯云防火墙、腾讯T-Sec主机安全(云镜)、腾讯T-Sec高级威胁检测系统(御界)也已发布了检测工具,帮助开发者展开安全自查。
  上个月,腾讯安全玄武实验室发现了开源JSON解析库Fastjson 存在远程代码执行漏洞,autotype开关的限制可被绕过,然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。该漏洞被利用可直接获取服务器权限,被官方定级为高危安全漏洞。6月初,Fastjson已经发布了新版本,修复了该漏洞。
【安全圈】Apache Dubbo高危漏洞,官方已发布修复版本!速修复
  腾讯安全玄武实验室被行业称为“漏洞挖掘机”,已经发现并协助国内外知名企业修复了上千个安全问题,对外报告的漏洞中,仅有CVE编号的就超过800个,2015年针对条码阅读器的安全研究成果“BadBarcode”、2016年针对微软网络协议的研究成果“BadTunnel”、2017 年针对移动应用的研究成果“应用克隆”、2018年针对屏下指纹验证技术的研究成果“残迹重用”都曾经在业内引发广泛的关注。凭借输出的漏洞研究报告,玄武实验室连续多年在国家信息安全漏洞共享平台原创积分榜上位居第一。

文章来源:TechWeb

猜你喜欢  



你点的每个赞,我都认真当成了喜欢

版权声明:本站内容全部来自于腾讯微信公众号,属第三方自助推荐收录。《【安全圈】Apache Dubbo高危漏洞,官方已发布修复版本!速修复》的版权归原作者「安全圈」所有,文章言论观点不代表Lambda在线的观点, Lambda在线不承担任何法律责任。如需删除可联系QQ:516101458

文章来源: 阅读原文

相关阅读

关注安全圈微信公众号

安全圈微信公众号:ChinaAnQuan

安全圈

手机扫描上方二维码即可关注安全圈微信公众号

安全圈最新文章

精品公众号随机推荐