【高危】- Apache Dubbo反序列化漏洞绕过安全风险通告
■ 漏洞描述
Apache Dubbo是一个分布式框架,致力于提供高性能透明化的RPC远程服务调用方案,以及SOA服务治理方案。Apache Dubbo在实际应用场景中主要负责解决分布式的相关需求。
6月23日,Apache Dubbo披露了一个反序列化漏洞。远程攻击者可以通过发送带有无法识别的服务、方法名称或带有恶意参数的RPC请求对此漏洞进行利用,成功时可造成恶意代码执行。官方已经发布Dubbo 2.7.7修复了该漏洞。
6月29日Apache Dubbo GitHub上有一个Pull Request表示Dubbo 2.7.7依然存在安全问题,该Pull Request指出Dubbo并未对内置方法进行参数类型检测,经分析并测试该问题属实。
6月30日Apache Dubbo 存在多个漏洞触发点,经过研究发现此次的多个漏洞触发点能够造成严重影响,建议客户尽快使用缓解方案缓解该漏洞造成的影响,截至 6 月 30 日官方尚未发布补丁修复该问题。
7月28日Apache Dubbo 更新发布 2.7.8 版本。该版本带有一个默认不启用的针对上述所有漏洞的缓解措施,受影响的用户升级至最新版本并启用漏洞缓解措施。
■ 影响范围
Apache Dubbo < 2.7.8
■ 漏洞检测
1、匹配版本
■ 漏洞修复
目前Apache Dubbo官方已发布Apache Dubbo 2.7.8最新版本,请立即更新到Apache Dubbo 2.7.8版本(https://github.com/apache/dubbo/)并开启白名单功能:
手动开启白名单,白名单开启方法:-Ddubbo.application.hessian2.whitelist=true。
■ 临时修复
无
■ 漏洞详情
https://mp.weixin.qq.com/s/IsbZmx7-WtxJSYdd07N-bA
Apache Dubbo是一个分布式框架,致力于提供高性能透明化的RPC远程服务调用方案,以及SOA服务治理方案。Apache Dubbo在实际应用场景中主要负责解决分布式的相关需求。
6月23日,Apache Dubbo披露了一个反序列化漏洞。远程攻击者可以通过发送带有无法识别的服务、方法名称或带有恶意参数的RPC请求对此漏洞进行利用,成功时可造成恶意代码执行。官方已经发布Dubbo 2.7.7修复了该漏洞。
6月29日Apache Dubbo GitHub上有一个Pull Request表示Dubbo 2.7.7依然存在安全问题,该Pull Request指出Dubbo并未对内置方法进行参数类型检测,经分析并测试该问题属实。
6月30日Apache Dubbo 存在多个漏洞触发点,经过研究发现此次的多个漏洞触发点能够造成严重影响,建议客户尽快使用缓解方案缓解该漏洞造成的影响,截至 6 月 30 日官方尚未发布补丁修复该问题。
7月28日Apache Dubbo 更新发布 2.7.8 版本。该版本带有一个默认不启用的针对上述所有漏洞的缓解措施,受影响的用户升级至最新版本并启用漏洞缓解措施。
■ 影响范围
Apache Dubbo < 2.7.8
■ 漏洞检测
1、匹配版本
■ 漏洞修复
目前Apache Dubbo官方已发布Apache Dubbo 2.7.8最新版本,请立即更新到Apache Dubbo 2.7.8版本(https://github.com/apache/dubbo/)并开启白名单功能:
手动开启白名单,白名单开启方法:-Ddubbo.application.hessian2.whitelist=true。
■ 临时修复
无
■ 漏洞详情
https://mp.weixin.qq.com/s/IsbZmx7-WtxJSYdd07N-bA