【高危】- Apache Dubbo 存在反序列化漏洞(CVE-2019-17564)
■ 漏洞描述
Dubbo是阿里巴巴公司开源的一个高性能优秀的服务框架(现归属Apache基金会),使得应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和Spring框架无缝集成。
Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
Apache Dubbo支持多种协议,官方推荐使用 Dubbo 协议,Apache Dubbo HTTP协议中的一个反序列化漏洞(CVE-2019-17564),该漏洞的主要原因在于当Apache Dubbo启用HTTP协议之后,Apache Dubbo对消息体处理不当导致不安全反序列化,可能导致远程代码执行。
■ 影响范围
2.7.0 <= Apache Dubbo <= 2.7.4
2.6.0 <= Apache Dubbo <= 2.6.7
Apache Dubbo = 2.5.x
■ 漏洞检测
检测方法:查看系统版本。
■ 漏洞修复
及时更新Apache Dubbo到2.7.5版本:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5
■ 漏洞详情
https://vas.riskivy.com/ti?id=59
Dubbo是阿里巴巴公司开源的一个高性能优秀的服务框架(现归属Apache基金会),使得应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和Spring框架无缝集成。
Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
Apache Dubbo支持多种协议,官方推荐使用 Dubbo 协议,Apache Dubbo HTTP协议中的一个反序列化漏洞(CVE-2019-17564),该漏洞的主要原因在于当Apache Dubbo启用HTTP协议之后,Apache Dubbo对消息体处理不当导致不安全反序列化,可能导致远程代码执行。
■ 影响范围
2.7.0 <= Apache Dubbo <= 2.7.4
2.6.0 <= Apache Dubbo <= 2.6.7
Apache Dubbo = 2.5.x
■ 漏洞检测
检测方法:查看系统版本。
■ 漏洞修复
及时更新Apache Dubbo到2.7.5版本:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5
■ 漏洞详情
https://vas.riskivy.com/ti?id=59