原文來自:安全客
鏈接:https://www.anquanke.com/post/id/209102
0x01 漏洞背景
2020年06月23日, 360CERT監測發現 Apache Dubbo 官方 發佈了 Apache Dubbo 遠程代碼執行的風險通告,該漏洞編號爲 CVE-2020-1948,漏洞等級:高危。
Apache Dubbo 是一款高性能、輕量級的開源Java RPC框架,它提供了三大核心能力:面向接口的遠程方法調用,智能容錯和負載均衡,以及服務自動註冊和發現。
Apache Dubbo Provider 存在反序列化漏洞,攻擊者可以通過RPC請求發送無法識別的服務名稱或方法名稱以及一些惡意參數有效載荷,當惡意參數被反序列化時,可以造成遠程代碼執行。
該漏洞的相關技術細節已公開。
對此,360CERT建議廣大用戶及時安裝最新補丁,做好資產自查以及預防工作,以免遭受黑客攻擊。
0x02 風險等級
360CERT對該漏洞的評定結果如下
| 評定方式 | 等級 |
|---|---|
| 威脅等級 | 高危 |
| 影響面 | 廣泛 |
0x03 漏洞詳情
Apache Dubbo Provider 存在反序列化漏洞,攻擊者可以通過RPC請求發送無法識別的服務名稱或方法名稱以及一些惡意參數有效載荷,當惡意參數被反序列化時,可以造成遠程代碼執行。
0x04 影響版本
0x05 修復建議
通用修補建議:
建議廣大用戶及時升級到2.7.7或更高版本,下載地址爲:
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7
0x06 相關空間測繪數據
360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪,發現Dubbo在國內均有廣泛使用,具體分佈如下圖所示。
0x07 時間線
2020-06-22 Apache Dubbo 官方發佈通告
2020-06-23 360CERT發佈預警
聲明:本文經安全客授權發佈,轉載請聯繫安全客平臺
最近熱文:
1、Spring Boot 幹掉了 Maven 擁抱 Gradle!
10、Spring Boot 2.3.1 發佈, 10 個新特性!
掃碼關注Java技術棧公衆號閱讀更多幹貨。
點擊「閱讀原文」獲取面試題大全~