Apache Dubbo反序列化漏洞(​CVE-2020-11995)风险通告,腾讯云镜支持检测

  • A+
所属分类:安全文章 安全漏洞


1

漏洞描述


Apache Dubbo默认反序列化协议Hessian2被曝存在代码执行漏洞,攻击者可利用漏洞构建一个恶意请求达到远程代码执行的目的。

Apache Dubbo 是一种基于 Java 的高性能 RPC 框架。该项目最初由阿里巴巴开发,于 2011 年开源,并于 2018 年 2 月进入 Apache 孵化器,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。


目前被多家公司采用,包括阿里巴巴集团、中国人寿、中国电信、当当网、滴滴出行、海尔和中国工商银行等。


2

漏洞编号


CVE-2020-11995


3漏洞等级


中等风险

4

受影响的版本


Dubbo 2.7.0 ~ 2.7.7
Dubbo 2.6.0 ~ 2.6.8
Dubbo 所有 2.5.x 版本 (官方已不再提供支持)


5

安全版本


Dubbo 2.7.8
Dubbo 3.2.9


6

漏洞修复方案


Apache Dubbo升级至安全版本。


7

腾讯安全解决方案


腾讯T-Sec主机安全(云镜)漏洞库日期2020-08-17之后的版本,已支持检测云主机系统是否受Apache Dubbo反序列化漏洞CVE-2020-11995)的影响。


腾讯T-Sec主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于腾讯T-Sec主机安全的更多信息,可长按识别以下二维码查阅。

Apache Dubbo反序列化漏洞(​CVE-2020-11995)风险通告,腾讯云镜支持检测


参考链接

https://www.mail-archive.com/[email protected]dubbo.apache.org/msg06676.html

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: