2020年06月23日, 360CERT監測發現 Apache Dubbo 官方 釋出了 Apache Dubbo 遠端代碼執行 的風險通告,該漏洞編号為 CVE-2020-1948,漏洞等級:高危。Apache Dubbo 是一款高性能、輕量級的開源Java RPC架構,它提供了三大核心能力:面向接口的遠端方法調用,智能容錯和負載均衡,以及服務自動注冊和發現。Apache Dubbo Provider 存在 反序列化漏洞,惡意破壞者可以通過RPC請求發送無法識别的服務名稱或方法名稱以及一些惡意參數有效載荷,當惡意參數被反序列化時,可以造成遠端代碼執行。該漏洞的相關技術細節已公開。對此,360CERT建議廣大使用者及時安裝最新更新檔,做好資産自查以及預防工作,以免遭受黑客pohuaiq。
360CERT對該漏洞的評定結果如下:
威脅等級:高危
影響面:廣泛
0x03 漏洞詳情 Apache Dubbo Provider 存在 反序列化漏洞,惡意破壞者可以通過RPC請求發送無法識别的服務名稱或方法名稱以及一些惡意參數有效載荷,當惡意參數被反序列化時,可以造成遠端代碼執行。
Dubbo 2.7.0 – 2.7.6
Dubbo 2.6.0 – 2.6.7
Dubbo 2.5.x (官方不再維護)
建議廣大使用者及時更新到2.7.7或更高版本,下載下傳位址為:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7。
360安全大腦-Quake網絡空間測繪系統通過對全網資産測繪,發現Dubbo在國内均有廣泛使用,具體分布如下圖所示。
360安全大腦的QUAKE資産測繪平台通過資産測繪技術手段,對該類漏洞進行監測,請使用者聯系相關産品區域負責人擷取對應産品。
2020-06-22 Apache Dubbo 官方釋出通告2020-06-23 360CERT釋出預警
END
