Apache Dubbo 被曝出“高危”远程代码执行漏洞
擊上方“朱小廝的博客”,選擇“設為星標”
后臺回復"加群",加入組織
來源:22j.co/brUT
0x01 漏洞背景
2020年06月23日, 360CERT監測發現 Apache Dubbo 官方?發布了 Apache Dubbo 遠程代碼執行?的風險通告,該漏洞編號為 CVE-2020-1948,漏洞等級:高危。
Apache Dubbo 是一款高性能、輕量級的開源Java RPC框架,它提供了三大核心能力:面向接口的遠程方法調用,智能容錯和負載均衡,以及服務自動注冊和發現。
Apache Dubbo Provider 存在?反序列化漏洞,攻擊者可以通過RPC請求發送無法識別的服務名稱或方法名稱以及一些惡意參數有效載荷,當惡意參數被反序列化時,可以造成遠程代碼執行。
該漏洞的相關技術細節已公開。
對此,360CERT建議廣大用戶及時安裝最新補丁,做好資產自查以及預防工作,以免遭受黑客攻擊。?
0x02 風險等級
360CERT對該漏洞的評定結果如下:
威脅等級:高危
影響面:廣泛
0x03 漏洞詳情?
Apache Dubbo Provider 存在?反序列化漏洞,攻擊者可以通過RPC請求發送無法識別的服務名稱或方法名稱以及一些惡意參數有效載荷,當惡意參數被反序列化時,可以造成遠程代碼執行。?
0x04 影響版本
Dubbo 2.7.0 – 2.7.6
Dubbo 2.6.0 – 2.6.7
Dubbo 2.5.x (官方不再維護)
0x05 修復建議
通用修補建議:
建議廣大用戶及時升級到2.7.7或更高版本,下載地址為:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7。
0x06 相關空間測繪數據
360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪,發現Dubbo在國內均有廣泛使用,具體分布如下圖所示。
?
0x07 產品側解決方案
360城市級網絡安全監測服務
360安全大腦的QUAKE資產測繪平臺通過資產測繪技術手段,對該類漏洞進行監測,請用戶聯系相關產品區域負責人獲取對應產品。?
0x08 時間線
2020-06-22?Apache Dubbo 官方發布通告
2020-06-23?360CERT發布預警
想知道更多?掃描下面的二維碼關注我
后臺回復”加群“獲取公眾號專屬群聊入口
【精彩推薦】
超清晰的DNS入門指南
深入理解Java Stream流水線
干掉Swagger,試試這個
干掉GuavaCache:Caffeine才是本地緩存的王
如何用ELK搭建TB級的日志系統
深度好文:Linux系統內存知識
日志系統新貴Loki,確實比笨重的ELK輕
日志采集系統都用到哪些技術?
面試官:為什么HashMap的加載因子是0.75?
點個在看少個 bug?????
總結
以上是生活随笔為你收集整理的Apache Dubbo 被曝出“高危”远程代码执行漏洞的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 可算是有文章,把Linux零拷贝讲透彻了
- 下一篇: 面试官:要不讲讲 Cookie、Sess