首頁 > 安全研究 > 安全通報 > 安全通告

Apache Dubbo反序列化漏洞風險通告

發布時間 2020-02-12

漏洞編號和級別


CVE編號:CVE-2019-17564,危險級別:高危,CVSS分值:官方未評定


影響版本


2.7.0 <= Apache Dubbo <= 2.7.4

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo = 2.5.x


漏洞概述


Apache Dubbo是一個分布式框架,致力于提供高性能透明化的RPC遠程服務調用方案,以及SOA服務治理方案。Apache Dubbo在實際應用場景中主要負責解決分布式的相關需求。


Apache Dubbo存在反序列化漏洞,Apache Dubbo支持多種協議,官方推薦使用 Dubbo 協議,此漏洞是屬于Apache Dubbo HTTP協議中的一個反序列化漏洞,主要原因在于當Apache Dubbo啟用HTTP協議之后,Apache Dubbo在接受來自消費者的遠程調用請求的時候存在一個不安全的反序列化行為,最終導致了遠程任意代碼執行。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布新版本修復漏洞,請盡快安裝和應用更新:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5。


參考鏈接


https://www.mail-archive.com/dev@dubbo.apache.org/msg06225.html


上一篇 下一篇