zoukankan      html  css  js  c++  java
  • 最新!Dubbo 远程代码执行漏洞通告,速度升级

    0x01 漏洞背景

    2020年06月23日, 360CERT监测发现 Apache Dubbo 官方 发布了 Apache Dubbo 远程代码执行的风险通告,该漏洞编号为 CVE-2020-1948,漏洞等级:高危

    Apache Dubbo 是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。

    Apache Dubbo Provider 存在反序列化漏洞,攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。

    该漏洞的相关技术细节已公开。

    对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。

    0x02 风险等级

    360CERT对该漏洞的评定结果如下

    0x03 漏洞详情

    Apache Dubbo Provider 存在反序列化漏洞,攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。

    0x04 影响版本

    • [Dubbo 2.7.0 – 2.7.6](http://mp.weixin.qq.com/s?__biz=MzI3ODcxMzQzMw==&mid=2247492659&idx=2&sn=f00afc28a6981b83e2cd473db039f622&chksm=eb506105dc27e81393931a70b8086de20a267f187c8b6aad67a817a06d340af3ab5d0987b51d&scene=21#wechat_redirect)
      
    • Dubbo 2.6.0 – 2.6.7

    • Dubbo 2.5.x (官方不再维护)

    0x05 修复建议

    通用修补建议:

    建议广大用户及时升级到2.7.7或更高版本,下载地址为:

    https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

    0x06 相关空间测绘数据

    360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现Dubbo在国内均有广泛使用,具体分布如下图所示。

    0x07 时间线

    2020-06-22 Apache Dubbo 官方发布通告

    2020-06-23 360CERT发布预警

    原文来自:安全客
    声明:本文经安全客授权发布,转载请联系安全客平台
    链接:https://www.anquanke.com/post/id/209102

    关注公众号Java技术栈回复"面试"获取我整理的2020最全面试题及答案。

    推荐去我的博客阅读更多:

    1.Java JVM、集合、多线程、新特性系列教程

    2.Spring MVC、Spring Boot、Spring Cloud 系列教程

    3.Maven、Git、Eclipse、Intellij IDEA 系列工具教程

    4.Java、后端、架构、阿里巴巴等大厂最新面试题

    觉得不错,别忘了点赞+转发哦!

  • 相关阅读:
    第四章
    第二章
    第三章
    第一章
    第十章心得
    第九章心得
    第八章心得
    第七章心得
    第六章心得
    第五章心得
  • 原文地址:https://www.cnblogs.com/javastack/p/13254417.html
Copyright © 2011-2022 走看看