6月23日,360網絡安全響應中心(360CERT)發佈《CVE-2020-1948:Apache Dubbo遠程代碼執行漏洞通告》(以下簡稱《通告》)。《通告》稱,Apache Dubbo存在遠程代碼執行漏洞,受影響的版本有Dubbo 2.5.x、Dubbo 2.6.0 - 2.6.7和Dubbo 2.7.0 - 2.7.6。
根據360CERT的評定,該漏洞等級爲高危,影響面廣泛。
Apache Dubbo官方表示,Apache Dubbo Provider存在反序列化漏洞。攻擊者可以通過RPC請求發送無法識別的服務名稱或方法名稱以及一些惡意參數有效載荷,當惡意參數被反序列化時,可以造成遠程代碼執行。
據悉,Apache Dubbo是一款高性能、輕量級的開源Java RPC框架,它提供了三大核心能力:面向接口的遠程方法調用,智能容錯和負載均衡,以及服務自動註冊和發現。
通用修復建議:
建議廣大用戶及時升級到2.7.7或更高版本,下載地址:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7