安全通告 | Apache Dubbo Provider默认反序列化远程代码执行漏洞公告(CVE-2020-1948)
近日,腾讯安全云鼎实验室监测到Apache Dubbo披露了Provider默认反序列化远程代码执行漏洞(CVE-2020-1948),攻击者可构造恶意请求执行任意代码。
为避免您的业务受影响,腾讯安全云鼎实验室建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
Apache Dubbo 是一种基于 Java 的高性能 RPC 框架。该项目 2011 年开源,并于 2018 年 2 月进入 Apache 孵化器,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
腾讯安全玄武实验室研究员发现,该漏洞会影响所有使用2.7.6或更低版本的Dubbo用户,攻击者可以发送带有无法识别的服务名或方法名的RPC请求,以及一些恶意的参数负载。当恶意参数被反序列化时,它将执行一些恶意代码。
攻击者可向受影响服务器发送恶意请求,获取服务器权限。
目前官方已发布漏洞修复版本,腾讯安全建议您尽快更新到安全版本,下载地址:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7
【备注】:建议您在升级前做好数据备份工作,避免出现意外
本文作者:YDclub
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/134425.html
必填 您当前尚未登录。 登录? 注册
必填(保密)