CVE-2020-11995 | Apache Dubbo反序列化漏洞通告

  • A+
所属分类:安全漏洞

0x00 漏洞概述


CVE   ID

CVE-2020-11995

时     间

2020-08-17

类     型


等     级

中危

远程利用

影响范围

Dubbo  2.7.0 - 2.7.7

Dubbo  2.6.0 - 2.6.8

Dubbo  2.5.x (官方不再维护)


0x01 漏洞详情

CVE-2020-11995 | Apache Dubbo反序列化漏洞通告

2020年8月16日Apache官方发布通告,修复了一个Apache Dubbo反序列化漏洞(CVE-2020-11995)。该漏洞源于Apache Dubbo Hessian2协议存在反序列化漏洞,导致通过构建恶意请求可执行任意代码。

Dubbo默认使用Hessaian2作为序列化/反序列化协议,当使用Hessaian2反序列化HashMap对象时,一些存储在类HashMap中的函数将被执行,但这可能会导致远程命令执行。例如,rome-1.7.0.jar中EqualsBean类的hashCode()函数会导致构建一个远程加载恶意类并执行恶意代码的恶意请求。

Dubbo 是阿里巴巴公司开源的一款高性能、轻量级Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用、智能容错和负载均衡,以及自动注册服务。目前已被多家大型企业网络采用,涉及阿里巴巴集团、中国人寿、中国电信、当当网、滴滴出行、海尔和中国工商银行等,该漏洞影响使用2.5.x,2.6.x和2.7.x的所有Dubbo用户,请相关用户尽快升级。


0x02 处置建议


   官方已发布新版本,请升级到2.6.92.7.8版本,下载地址:

https://github.com/apache/dubbo/releases/tag/dubbo-2.6.9

https://github.com/apache/dubbo/releases/tag/dubbo-2.7.8

临时措施:

在Hessian2 3.2.9中设置支持白名单,参考链接:

https://github.com/apache/dubbo-hessian-lite/releases/tag/v3.2.9


0x03 相关新闻


https://www.mail-archive.com/[email protected]/msg06676.html


0x04 参考链接


https://lists.apache.org/thread.html/r5b2df4ef479209dc4ced457b3d58a887763b60b9354c3dc148b2eb5b%40%3Cdev.dubbo.apache.org%3E


0x05 时间线


2020-08-16 Apache官方发布通告

2020-08-17 VSRC发布漏洞通告

 

 

CVE-2020-11995 | Apache Dubbo反序列化漏洞通告


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: