Apache Dubbo 高危反序列化漏洞分析
漏洞背景
2020 年 06 月 23 日,Apache Dubbo 官方发布了远程代码执行的风险通告,该漏洞编号为 CVE-2020-1948,漏洞等级:高危。
Apache Dubbo 是一款高性能、轻量级的开源 Java RPC 框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
Apache Dubbo Provider 存在反序列化漏洞,攻击者可以通过 RPC 请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。
风险等级
- 威胁等级:高危
- 影响面:广泛
漏洞详情
Apache Dubbo Provider 存在反序列化漏洞,攻击者可以通过 RPC 请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。
影响版本
- Dubbo 2.7.0 – 2.7.6
- Dubbo 2.6.0 – 2.6.7
- Dubbo 2.5.x(官方不再维护)
修复建议
通用修补建议
建议广大用户及时升级到 2.7.7 或更高版本,下载地址为:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7。
相关空间测绘数据
通过对全网资产测绘,发现 Dubbo 在国内均有广泛使用,具体分布如下图所示。
时间线
- 2020-06-22 Apache Dubbo 官方发布通告
- 2020-06-23 安全社区发布预警
