4000-110-253
Apache Dubbo反序列化漏洞(CVE-2019-17564)预警. 2020-02-13
一、内容概述
近日,监测发现Apache Dubbo官方发布了CVE-2019-17564漏洞通告,漏洞等级中危。当用户选择http协议进行通信时,Apache Dubbo 将接受来自消费者远程调用的POST请求并执行一个反序列化的操作。由于此步骤没有任何安全校验,因此可以造成反序列化执行任意代码。
二、详细说明
Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡以及服务自动注册和发现。
Apache Dubbo支持多种协议,官方默认为 Dubbo 协议。当用户选择http协议进行通信时,Apache Dubbo 将接受来自消费者远程调用的POST请求并执行一个反序列化的操作。由于此步骤没有任何安全校验,因此可以造成反序列化执行任意代码。
三、影响范围
受影响版本:
2.7.0 <= Apache Dubbo <= 2.7.4
2.6.0 <= Apache Dubbo <= 2.6.7
Apache Dubbo 2.5.x 的所有版本
四、漏洞修复建议
建议用户尽快升级到2.7.5版本。
https://github.com/apache/dubbo/tree/dubbo-2.7.5
五、参考链接
1) https://www.mail-archive.com/dev@dubbo.apache.org/msg06225.html
转自中国信息通信研究院
