91百色国产视频|亚洲欧美伦理中文字幕在线|亚洲中文乱码在线|天堂影音av在线|国产激情人妻熟女|AV无码高清在线|超碰在线免费观看操|亚洲va中文字幕|欧美极品性爱四区|国产精品二区在线观看

近日，金山云安全應(yīng)急響應(yīng)中心監(jiān)測到Apache Dubbo遠(yuǎn)程代碼執(zhí)行漏洞的修復(fù)補丁仍可被繞過。Dubbo ≤2.7.7版本仍存在遠(yuǎn)程代碼執(zhí)行漏洞。

目前官方尚未發(fā)布新版本，該漏洞風(fēng)險極大，請相關(guān)用戶盡快排查并采取防護措施。

漏洞描述

Apache Dubbo是一種基于Java的高性能RPC框架，使應(yīng)用可通過高性能的 RPC 實現(xiàn)服務(wù)的輸出和輸入功能，可以和 Spring 框架無縫集成，應(yīng)用廣泛影響面較大。

6月23日，金山云安全應(yīng)急響應(yīng)中心監(jiān)測到Apache Dubbo 發(fā)布Dubbo 2.7.7版本，修復(fù)Provider默認(rèn)反序列化遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-1948）。近日，金山云安全應(yīng)急響應(yīng)中心發(fā)現(xiàn)該修復(fù)補丁可被繞過，風(fēng)險仍然存在。經(jīng)金山云安全團隊分析，攻擊者可以發(fā)送帶有無法識別的服務(wù)名或方法名的RPC請求，以及一些惡意的參數(shù)負(fù)載。當(dāng)惡意參數(shù)被反序列化時，可執(zhí)行惡意代碼。

風(fēng)險等級

高危

影響版本

Apache Dubbo ≤2.7.7版本

修復(fù)建議

目前官方尚未發(fā)布安全版本，受影響的用戶可以采取以下暫緩措施：

1. 升級至2.7.7版本，并對入?yún)㈩愋瓦M行檢驗；具體請參考：

https://github.com/apache/dubbo/pull/6374/commits/8fcdca112744d2cb98b349225a4aab365af563de

2. 關(guān)閉對公網(wǎng)開放的Dubbo服務(wù)端端口，僅允許可信任的IP訪問；

3. Dubbo協(xié)議默認(rèn)使用Hessian進行序列化和反序列化。在不影響業(yè)務(wù)的情況下，建議更換協(xié)議以及反序列化方式。具體請參考：

http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html

參考鏈接

https://github.com/apache/dubbo/pull/6374

https://www.mail-archive.com/dev@dubbo.apache.org/msg06544.html

北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2020/07/01