查看: 1867|回复: 0
收起左侧

[技术原创] Apache Dubbo 惊爆高危漏洞(CVE-2020-1948),黑客攻击可执行任意代码,腾讯安全...

[复制链接]
腾讯电脑管家
发表于 2020-6-23 16:34:08 | 显示全部楼层 |阅读模式
本帖最后由 腾讯电脑管家 于 2020-6-23 17:11 编辑

腾讯安全团队监测到Apache Dubbo披露了Provider默认反序列化远程代码执行漏洞(CVE-2020-1948),攻击者可构造恶意请求执行任意代码。

【漏洞描述】
该漏洞会影响所有使用2.7.6或更低版本的Dubbo用户,攻击者可以发送带有无法识别的服务名或方法名的RPC请求,以及一些恶意的参数负载。当恶意参数被反序列化时,它将执行一些恶意代码。

【漏洞等级】高危

【漏洞版本】
Apache Dubbo 2.7.0 to 2.7.6
Apache Dubbo 2.6.0 to 2.6.7
Apache Dubbo all 2.5.x versions (官方已不再提供支持)

【安全版本】
Apache Dubbo 2.7.7 或更高版本

【修复方案】
目前官方已发布漏洞修复版本,腾讯安全专家建议尽快更新到安全版本,下载地址:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7
注意:建议升级前做好备份,避免出现意外。

【腾讯安全解决方案】
1.腾讯云防火墙已支持拦截防御Apache Dubbo Provider 反序列化远程代码执行漏洞利用;

2.腾讯T-Sec主机安全(云镜)已支持检测Apache Dubbo Provider 反序列化远程代码执行漏洞;

3.腾讯T-Sec高级威胁检测系统(御界)已支持检测Apache Dubbo Provider 反序列化远程代码执行漏洞的攻击利用;

【关于Apache Dubbo】
Apache Dubbo 是一种基于 Java 的高性能 RPC 框架。该项目最初由阿里巴巴开发,于 2011 年开源,并于 2018 年 2 月进入 Apache 孵化器,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
目前已被多家大型企业网络采用,包括阿里巴巴集团、中国人寿、中国电信、当当网、滴滴出行、海尔和中国工商银行等。
参考链接:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 12:02 , Processed in 0.148030 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表