2020年6月23日,阿里云应急响应中心监测到Apache Dubbo官方发布了Apache Dubbo远程代码执行的漏洞风险通告。
Apache Dubbo是一种基于Java的高性能RPC框架。Apache Dubbo官方披露在Dubbo Provider
中存在一个反序列化远程代码执行漏洞(CVE-2020-1948),攻击者可以构造并发送带有恶意参数负载的RPC请求,当恶意参数被反序列化时将导致远程代码执行。
漏洞影响范围:
- Apache Dubbo 2.7.0~2.7.6
- Apache Dubbo 2.6.0~2.6.7
- Apache Dubbo 2.5.x系列所有版本(官方不再提供支持)
漏洞危险等级:高危
规则防护:云防火墙虚拟补丁已支持防护
规则类型:命令执行
安全建议:
- Apache Dubbo官方已发布该漏洞的修复版本,请您升级至Apache Dubbo 2.7.7版本或更高版本。该漏洞修复版本的下载地址。
- 使用云防火墙的入侵防御功能进行安全防护。