首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-11995 | Apache Dubbo反序列化漏洞通告

發布時間 2020-08-17

0x00 漏洞概述



CVE   ID

CVE-2020-11995

時    間

2020-08-17

類    型


等    級

中危

遠程利用

影響范圍

Dubbo 2.7.0 - 2.7.7

Dubbo 2.6.0 - 2.6.8

Dubbo 2.5.x (官方不再維護)



0x01 漏洞詳情




2020年8月16日Apache官方發布通告,修復了一個Apache Dubbo反序列化漏洞(CVE-2020-11995)。該漏洞源于Apache Dubbo Hessian2協議存在反序列化漏洞,導致通過構建惡意請求可執行任意代碼。

Dubbo默認使用Hessaian2作為序列化/反序列化協議,當使用Hessaian2反序列化HashMap對象時,一些存儲在類HashMap中的函數將被執行,但這可能會導致遠程命令執行。例如,rome-1.7.0.jar中EqualsBean類的hashCode()函數會導致構建一個遠程加載惡意類并執行惡意代碼的惡意請求。

Dubbo 是阿里巴巴公司開源的一款高性能、輕量級Java RPC框架,它提供了三大核心能力:面向接口的遠程方法調用、智能容錯和負載均衡,以及自動注冊服務。目前已被多家大型企業網絡采用,涉及阿里巴巴集團、中國人壽、中國電信、當當網、滴滴出行、海爾和中國工商銀行等,該漏洞影響使用2.5.x,2.6.x和2.7.x的所有Dubbo用戶,請相關用戶盡快升級。


0x02 處置建議


官方已發布新版本,請升級到2.6.9或2.7.8版本,下載地址:

https://github.com/apache/dubbo/releases/tag/dubbo-2.6.9

https://github.com/apache/dubbo/releases/tag/dubbo-2.7.8

臨時措施:

在Hessian2 3.2.9中設置支持白名單,參考鏈接:

https://github.com/apache/dubbo-hessian-lite/releases/tag/v3.2.9


0x03 相關新聞


https://www.mail-archive.com/dev@dubbo.apache.org/msg06676.html


0x04 參考鏈接


https://lists.apache.org/thread.html/r5b2df4ef479209dc4ced457b3d58a887763b60b9354c3dc148b2eb5b%40%3Cdev.dubbo.apache.org%3E


0x05 時間線


2020-08-16 Apache官方發布通告

2020-08-17 VSRC發布漏洞通告





上一篇 下一篇