【高危】- Apache Dubbo反序列化漏洞风险通告(CVE-2020-11995)
■ 漏洞描述
Apache Dubbo 是一种基于 Java 的高性能 RPC 框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。Apache Dubbo默认反序列化协议Hessian2被曝存在代码执行漏洞,攻击者可利用漏洞构建一个恶意请求达到远程代码执行的目的。
■ 影响范围
Dubbo 2.7.0 ~ 2.7.7
Dubbo 2.6.0 ~ 2.6.8
Dubbo 所有 2.5.x 版本 (官方已不再提供支持)
■ 漏洞检测
1、匹配系统版本。
■ 漏洞修复
将Apache Dubbo升级至安全版本。安全版本Dubbo 2.7.8,Dubbo 3.2.9,下载地址:
http://dubbo.apache.org/zh-cn/blog/download.html
■ 临时修复
1、暂时无法升级,添加访问限制。
■ 漏洞详情
https://mp.weixin.qq.com/s/Q0d8lTrlFI-Z2jJeaqsSmg
Apache Dubbo 是一种基于 Java 的高性能 RPC 框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。Apache Dubbo默认反序列化协议Hessian2被曝存在代码执行漏洞,攻击者可利用漏洞构建一个恶意请求达到远程代码执行的目的。
■ 影响范围
Dubbo 2.7.0 ~ 2.7.7
Dubbo 2.6.0 ~ 2.6.8
Dubbo 所有 2.5.x 版本 (官方已不再提供支持)
■ 漏洞检测
1、匹配系统版本。
■ 漏洞修复
将Apache Dubbo升级至安全版本。安全版本Dubbo 2.7.8,Dubbo 3.2.9,下载地址:
http://dubbo.apache.org/zh-cn/blog/download.html
■ 临时修复
1、暂时无法升级,添加访问限制。
■ 漏洞详情
https://mp.weixin.qq.com/s/Q0d8lTrlFI-Z2jJeaqsSmg