【高危】- Apache Dubbo反序列化漏洞(CVE-2020-1948)补丁绕过安全风险通告
■ 漏洞描述
Apache Dubbo是一个分布式框架,致力于提供高性能透明化的RPC远程服务调用方案,以及SOA服务治理方案。Apache Dubbo在实际应用场景中主要负责解决分布式的相关需求。
Apache Dubbo披露了一个反序列化漏洞。远程攻击者可以通过发送带有无法识别的服务、方法名称或带有恶意参数的RPC请求对此漏洞进行利用,成功时可造成恶意代码执行。
Apache Dubbo GitHub上有一个新的Pull Request称修复了2.7.7版本的绕过,经测试绕过有效。鉴于该漏洞影响较大,建议各位老师尽快自查修复。
■ 影响范围
2.7.0 <= Apache Dubbo <= 2.7.7
2.6.0 <= Apache Dubbo <= 2.6.7
Apache Dubbo 全部 2.5.x 版本(不再被官方团队支持)
■ 漏洞检测
检测方法:
1、查看系统版本。
■ 漏洞修复
目前暂无针对此次绕过的补丁和更新版本发布,采取以下缓解措施:
先升级到Dubbo 2.7.7,然后参考以下链接,对参数类型进行校验:
https://github.com/apache/dubbo/pull/6374/commits/8fcdca112744d2cb98b349225a4aab365af563de
■ 漏洞详情
https://mp.weixin.qq.com/s/bPVraONqYhQ2JZ4sNoO_Vw
Apache Dubbo是一个分布式框架,致力于提供高性能透明化的RPC远程服务调用方案,以及SOA服务治理方案。Apache Dubbo在实际应用场景中主要负责解决分布式的相关需求。
Apache Dubbo披露了一个反序列化漏洞。远程攻击者可以通过发送带有无法识别的服务、方法名称或带有恶意参数的RPC请求对此漏洞进行利用,成功时可造成恶意代码执行。
Apache Dubbo GitHub上有一个新的Pull Request称修复了2.7.7版本的绕过,经测试绕过有效。鉴于该漏洞影响较大,建议各位老师尽快自查修复。
■ 影响范围
2.7.0 <= Apache Dubbo <= 2.7.7
2.6.0 <= Apache Dubbo <= 2.6.7
Apache Dubbo 全部 2.5.x 版本(不再被官方团队支持)
■ 漏洞检测
检测方法:
1、查看系统版本。
■ 漏洞修复
目前暂无针对此次绕过的补丁和更新版本发布,采取以下缓解措施:
先升级到Dubbo 2.7.7,然后参考以下链接,对参数类型进行校验:
https://github.com/apache/dubbo/pull/6374/commits/8fcdca112744d2cb98b349225a4aab365af563de
■ 漏洞详情
https://mp.weixin.qq.com/s/bPVraONqYhQ2JZ4sNoO_Vw