1
漏洞描述
Apache Dubbo默认反序列化协议Hessian2被曝存在代码执行漏洞,攻击者可利用漏洞构建一个恶意请求达到远程代码执行的目的。
Apache Dubbo 是一种基于 Java 的高性能 RPC 框架。该项目最初由阿里巴巴开发,于 2011 年开源,并于 2018 年 2 月进入 Apache 孵化器,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
目前被多家公司采用,包括阿里巴巴集团、中国人寿、中国电信、当当网、滴滴出行、海尔和中国工商银行等。
2
漏洞编号
CVE-2020-11995
3漏洞等级
中等风险
4
受影响的版本
Dubbo 2.7.0 ~ 2.7.7
Dubbo 2.6.0 ~ 2.6.8
Dubbo 所有 2.5.x 版本 (官方已不再提供支持)
5
安全版本
Dubbo 2.7.8
Dubbo 3.2.9
6
漏洞修复方案
将Apache Dubbo升级至安全版本。
7
腾讯安全解决方案
腾讯T-Sec主机安全(云镜)漏洞库日期2020-08-17之后的版本,已支持检测云主机系统是否受Apache Dubbo反序列化漏洞(CVE-2020-11995)的影响。
腾讯T-Sec主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于腾讯T-Sec主机安全的更多信息,可长按识别以下二维码查阅。
参考链接
https://www.mail-archive.com/dev@dubbo.apache.org/msg06676.html
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论