vlambda博客
学习文章列表

Dubbo爆反序列化漏洞,赶快升级到稳定版本!

# 漏洞描述


Apache Dubbo默认反序列化协议Hessian2被曝存在代码执行漏洞,攻击者可利用漏洞构建一个恶意请求达到远程代码执行的目的。

Apache Dubbo 是一种基于 Java 的高性能 RPC 框架。该项目最初由阿里巴巴开发,于 2011 年开源,并于 2018 年 2 月进入 Apache 孵化器,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。


目前被多家公司采用,包括阿里巴巴集团、中国人寿、中国电信、当当网、滴滴出行、海尔和中国工商银行等。


# 漏洞编号


CVE-2020-11995


# 漏洞等级


中等风险

# 受影响的版本


Dubbo 2.7.0 ~ 2.7.7
Dubbo 2.6.0 ~ 2.6.8
Dubbo 所有 2.5.x 版本 (官方已不再提供支持)


# 安全版本


Dubbo 2.7.8
Dubbo 3.2.9


# 漏洞修复方案


将Apache Dubbo升级至安全版本。


# 参考链接


https://www.mail-archive.com/[email protected]/msg06676.html


 往期推荐 

🔗




 

点击阅读原文,获得编程视频资料