0x00 漏洞概述
|
CVE ID |
CVE-2020-11995 |
时 间 |
2020-08-17 |
|
类 型 |
等 级 |
中危 |
|
|
远程利用 |
是 |
影响范围 |
Dubbo 2.7.0 - 2.7.7 Dubbo 2.6.0 - 2.6.8 Dubbo 2.5.x (官方不再维护) |
0x01 漏洞详情
2020年8月16日Apache官方发布通告,修复了一个Apache Dubbo反序列化漏洞(CVE-2020-11995)。该漏洞源于Apache Dubbo Hessian2协议存在反序列化漏洞,导致通过构建恶意请求可执行任意代码。
Dubbo默认使用Hessaian2作为序列化/反序列化协议,当使用Hessaian2反序列化HashMap对象时,一些存储在类HashMap中的函数将被执行,但这可能会导致远程命令执行。例如,rome-1.7.0.jar中EqualsBean类的hashCode()函数会导致构建一个远程加载恶意类并执行恶意代码的恶意请求。
Dubbo 是阿里巴巴公司开源的一款高性能、轻量级Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用、智能容错和负载均衡,以及自动注册服务。目前已被多家大型企业网络采用,涉及阿里巴巴集团、中国人寿、中国电信、当当网、滴滴出行、海尔和中国工商银行等,该漏洞影响使用2.5.x,2.6.x和2.7.x的所有Dubbo用户,请相关用户尽快升级。
0x02 处置建议
官方已发布新版本,请升级到2.6.9或2.7.8版本,下载地址:
https://github.com/apache/dubbo/releases/tag/dubbo-2.6.9
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.8
临时措施:
在Hessian2 3.2.9中设置支持白名单,参考链接:
https://github.com/apache/dubbo-hessian-lite/releases/tag/v3.2.9
0x03 相关新闻
https://www.mail-archive.com/[email protected]/msg06676.html
0x04 参考链接
https://lists.apache.org/thread.html/r5b2df4ef479209dc4ced457b3d58a887763b60b9354c3dc148b2eb5b%40%3Cdev.dubbo.apache.org%3E
0x05 时间线
2020-08-16 Apache官方发布通告
2020-08-17 VSRC发布漏洞通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论