Dubbo
近日 Dubbo 官方報告了一個 Dubbo 遠程代碼執行問題(CVE-2020-1948),該問題由 Provider 反序列化漏洞引起。根據介紹,攻擊者可以使用無法識別的服務名稱或方法名稱,並帶上一些惡意參數有效載荷發送 RPC 請求。當惡意參數反序列化後,將執行一些惡意代碼。
受影響的版本:
-
2.7.0 <= Dubbo Version <= 2.7.6
-
2.6.0 <= Dubbo Version <= 2.6.7
-
所有 2.5.x 版本(官方團隊不再支持)
建議廣大用戶及時升級到2.7.7或更高版本,下載地址爲:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7。
FastJson
近日,阿里雲應急響應中心監測到fastjson爆發新的反序列化遠程代碼執行漏洞,黑客利用漏洞,可繞過autoType限制,直接遠程執行任意命令攻擊服務器,風險極大。
fastjson採用黑白名單的方法來防禦反序列化漏洞,導致當黑客不斷髮掘新的反序列化Gadgets類時,在autoType關閉的情況下仍然可能可以繞過黑白名單防禦機制,造成遠程命令執行漏洞。經研究,該漏洞利用門檻較低,可繞過autoType限制,風險影響較大。阿里雲應急響應中心提醒fastjson用戶儘快採取安全措施阻止漏洞攻擊。
受影響的版本:
-
fastjson <=1.2.68
-
fastjson sec版本 <= sec9
-
android版本不受此漏洞影響
升級到最新版本1.2.69或者更新的1.2.70版本。