6 月 23 日,360 網絡安全響應中心(360CERT)發佈《CVE-2020-1948:Apache Dubbo 遠程代碼執行漏洞通告》(以下簡稱《通告》)。《通告》稱,Apache Dubbo 存在遠程代碼執行漏洞,受影響的版本有 Dubbo 2.5.x、Dubbo 2.6.0 - 2.6.7 和 Dubbo 2.7.0 - 2.7.6。
根據 360CERT 的評定,該漏洞等級爲高危,影響面廣泛。
Apache Dubbo 官方表示,Apache Dubbo Provider 存在反序列化漏洞。攻擊者可以通過 RPC 請求發送無法識別的服務名稱或方法名稱以及一些惡意參數有效載荷,當惡意參數被反序列化時,可以造成遠程代碼執行。
據悉, Apache Dubbo 是一款高性能、輕量級的開源 Java RPC 框架,它提供了三大核心能力:面向接口的遠程方法調用,智能容錯和負載均衡,以及服務自動註冊和發現。
通用修復建議:
建議廣大用戶及時升級到 2.7.7 或更高版本,下載地址:
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7
【推薦閱讀】
Spring Boot“內存泄漏”?看看美團大牛是如何排查的