Dubbo爆出高危漏洞!可造成遠(yuǎn)程代碼執(zhí)行!附解決方案
點(diǎn)擊上方“JAVA”,星標(biāo)公眾號(hào)重磅干貨,第一時(shí)間送達(dá)
0x01 漏洞背景
2020年06月23日, 360CERT監(jiān)測(cè)發(fā)現(xiàn) Apache Dubbo 官方?發(fā)布了 Apache Dubbo 遠(yuǎn)程代碼執(zhí)行?的風(fēng)險(xiǎn)通告,該漏洞編號(hào)為 CVE-2020-1948,漏洞等級(jí):高危。Apache Dubbo 是一款高性能、輕量級(jí)的開源Java RPC框架,它提供了三大核心能力:面向接口的遠(yuǎn)程方法調(diào)用,智能容錯(cuò)和負(fù)載均衡,以及服務(wù)自動(dòng)注冊(cè)和發(fā)現(xiàn)。Apache Dubbo Provider 存在?反序列化漏洞,攻擊者可以通過(guò)RPC請(qǐng)求發(fā)送無(wú)法識(shí)別的服務(wù)名稱或方法名稱以及一些惡意參數(shù)有效載荷,當(dāng)惡意參數(shù)被反序列化時(shí),可以造成遠(yuǎn)程代碼執(zhí)行。該漏洞的相關(guān)技術(shù)細(xì)節(jié)已公開。對(duì)此,360CERT建議廣大用戶及時(shí)安裝最新補(bǔ)丁,做好資產(chǎn)自查以及預(yù)防工作,以免遭受黑客攻擊。?0x02 風(fēng)險(xiǎn)等級(jí)
360CERT對(duì)該漏洞的評(píng)定結(jié)果如下:威脅等級(jí):高危
影響面:廣泛
0x04 影響版本
Dubbo 2.7.0 – 2.7.6
Dubbo 2.6.0 – 2.6.7
Dubbo 2.5.x (官方不再維護(hù))
0x05 修復(fù)建議
通用修補(bǔ)建議:
建議廣大用戶及時(shí)升級(jí)到2.7.7或更高版本,下載地址為:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7。0x06 相關(guān)空間測(cè)繪數(shù)據(jù)
360安全大腦-Quake網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)通過(guò)對(duì)全網(wǎng)資產(chǎn)測(cè)繪,發(fā)現(xiàn)Dubbo在國(guó)內(nèi)均有廣泛使用,具體分布如下圖所示。
?
0x07 產(chǎn)品側(cè)解決方案
360城市級(jí)網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)
360安全大腦的QUAKE資產(chǎn)測(cè)繪平臺(tái)通過(guò)資產(chǎn)測(cè)繪技術(shù)手段,對(duì)該類漏洞進(jìn)行監(jiān)測(cè),請(qǐng)用戶聯(lián)系相關(guān)產(chǎn)品區(qū)域負(fù)責(zé)人獲取對(duì)應(yīng)產(chǎn)品。?0x08 時(shí)間線
2020-06-22?Apache Dubbo 官方發(fā)布通告2020-06-23?360CERT發(fā)布預(yù)警以下內(nèi)容轉(zhuǎn)載自安全客https://www.anquanke.com/post/id/209102--END--? 推薦
公眾號(hào)ID|javabaiwen
小編微信|619531440
每天分享技術(shù)干貨
視頻 | 電子書 | 面試題?|?開發(fā)經(jīng)驗(yàn)
評(píng)論
圖片
表情