Apache Dubbo Provider默认反序列化远程代码执行漏洞公告(CVE-2020-1948)

JAVASEC 2021年4月17日15:04:38评论60 views字数 770阅读2分34秒阅读模式
摘要

Apache Dubbo 是一个分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。简单的说,dubbo就是个服务框架,如果没有分布式的需求,其实是不需要用的,只有在分布式的时候,才有dubbo这样的分布式服务框架的需求,并且本质上是个服务调用的东东,说白了就是个远程服务调用的分布式框架(告别Web Service模式中的WSdl,以服务者与消费者的方式在dubbo上注册。功能包含(远程通讯、集群容错、自动发现)

Apache Dubbo Provider默认反序列化远程代码执行漏洞公告(CVE-2020-1948)

简介

Apache Dubbo 是一个分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。简单的说,dubbo就是个服务框架,如果没有分布式的需求,其实是不需要用的,只有在分布式的时候,才有dubbo这样的分布式服务框架的需求,并且本质上是个服务调用的东东,说白了就是个远程服务调用的分布式框架(告别Web Service模式中的WSdl,以服务者与消费者的方式在dubbo上注册。功能包含(远程通讯、集群容错、自动发现)

腾讯安全玄武实验室研究员发现,该漏洞会影响所有使用2.7.6或更低版本的Dubbo用户,攻击者可以发送带有无法识别的服务名或方法名的RPC请求,以及一些恶意的参数负载。当恶意参数被反序列化时,它将执行一些恶意代码。

风险等级

高风险

影响版本

  • Apache Dubbo 2.7.0 ~ 2.7.6
  • Apache Dubbo 2.6.0 ~ 2.6.7
  • Apache Dubbo 2.5.x 所有版本

修复版本

Apache Dubbo 2.7.7及以上更高版本
修复地址: https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

漏洞Email

https://lists.apache.org/thread.html/rd4931b5ffc9a2b876431e19a1bffa2b4c14367260a08386a4d461955%40%3Cdev.dubbo.apache.org%3E

相关推荐: JAVA RMI反序列化知识详解

Author: Alpha@天融信阿尔法实验室 前言 在Java反序列化漏洞挖掘或利用的时候经常会遇见RMI,本文会讲述什么是RMI、RMI攻击方法、JEP290限制、绕过JEP290限制。 RMI简介 JAVA本身提供了一种RPC框架 RMI及Java 远程…

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
JAVASEC
  • 本文由 发表于 2021年4月17日15:04:38
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Apache Dubbo Provider默认反序列化远程代码执行漏洞公告(CVE-2020-1948)http://cn-sec.com/archives/337026.html

发表评论

匿名网友 填写信息