2020年2月11日,阿里云应急响应中心监测到Apache Dubbo反序列化漏洞(CVE编号:CVE-2019-17564)。

Apache Dubbo是一款应用广泛的Java RPC分布式服务框架,支持多种协议,官方推荐使用Dubbo协议。Dubbo支持使用HTTP协议进行远程过程调用,该协议采用Spring HttpInvoker实现,在处理输入流时将会进行反序列化操作。当Apache Dubbo启用HTTP协议之后,Apache Dubbo在接受远程调用请求的时候存在一个不安全的反序列化行为,最终导致了远程任意代码执行。

云防火墙已监测到利用此漏洞发起的攻击,并支持拦截此类攻击。

漏洞影响范围:Apache Dubbo 2.7.5以下版本

漏洞危险等级:高危

安全建议:使用云防火墙的入侵防御功能进行安全防护。