Dubbo 反序列化漏洞,可导致远程代码执行

来源: OSCHINA
编辑: oschina
2020-06-26 08:39:32

近日 Dubbo 官方报告了一个 Dubbo 远程代码执行问题(CVE-2020-1948),该问题由 Provider 反序列化漏洞引起。根据介绍,攻击者可以使用无法识别的服务名称或方法名称,并带上一些恶意参数有效载荷发送 RPC 请求。当恶意参数反序列化后,将执行一些恶意代码。

受影响的版本:

  • 2.7.0 <= Dubbo Version <= 2.7.6
  • 2.6.0 <= Dubbo Version <= 2.6.7
  • 所有 2.5.x 版本(官方团队不再支持)

所有 Dubbo 版本都可以升级到 2.7.7 或更高版本,避免该漏洞:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

详情查看邮件列表

展开阅读全文
精彩评论
听起来很爆炸,但是rpc服务大多数情况下都是内部调用,问题不大。
2020-06-26 11:49
15
举报
能用http就不要用rpc
2020-06-26 14:09
6
举报
人家内部压根不用
2020-06-28 10:35
5
举报
你不懂RPC
2020-06-27 11:46
3
举报
预感 dubbo 会像 fastjson一样,养起一批安全人员!
2020-06-27 14:00
2
举报
7 收藏
分享
15 评论
7 收藏
分享
返回顶部
顶部