2020年2月13日，Apache Dubbo出现了一个较为严重的漏洞： 反序列化漏洞 （漏洞编号：CVE-2019-17564）。

攻击者利用该漏洞，可在目标网站上远程执行恶意代码，最终导致网站被控制、数据泄露等。

一、漏洞原理

Apache Dubbo是一款应用广泛的高性能轻量级的Java 远程调用分布式服务框架，支持多种通信协议。

当网站安装了Apache Dubbo并且启用http协议进行通信时，攻击者可以向网站发送POST请求，在请求里可以执行一个反序列化的操作，由于没有任何安全校验，这个反序列化过程可以执行任意代码。

这里，序列化是指把某个编程对象转换为字节序列的过程，而反序列化是指把字节序列恢复为某个编程对象的过程。

二、影响的版本范围

漏洞影响的Apache Dubbo产品版本包括：2.7.02.7.4、2.6.02.6.7、2.5.x 的所有版本。

三、防护方案

1、Apache Dubbo官方建议用户网站升级到安全的2.7.5版本。下载地址如下：

https://github.com/apache/dubbo/tree/dubbo-2.7.5。

2、如无法快速升级版本，或希望防护更多其他漏洞，可使用各云服务器WAF内置的防护规则对该漏洞进行防护，步骤如下：

1. 购买WAF。

2. 将网站域名添加到WAF中并完成域名接入。

3. 将Web基础防护的状态设置为“拦截”模式。

你们有使用 Dubbo 的么？哪个大版本呢？

来源：https://www.toutiao.com/a6793181470287462916

END

学习资料：

分享一份最新 Java 架构师学习资料

最近热文：

1、远程办公一周，我有话说！

2、写了一首 Java 表白诗，女朋友不愁了！

3、阿里面试 Java 都问什么？万字总结！

4、Vert.x！这是目前最快的 Java 框架

5、用户密码到底要怎么加密存储？

Java干货：

1、2020 最新 Java 面试题整理，建议收藏！

2、Oracle JDK 和 OpenJDK 有什么区别？

3、Java 14 令人期待的 5 大新特性！

4、Java中的对象都是在堆上分配的吗？

5、图文并茂，傻瓜都能看懂的JVM内存布局

Spring干货：

1、Spring 事务失效的 8 大原因，吊打面试官！

2、Spring 面试 7 大问题，你顶得住不？

3、Spring Boot 之配置导入，强大到不行！

4、Spring Cloud Greenwich最后计划版本发布！

5、Spring Cloud 升级最新 Greenwich 版本

本公众号干货实在太多了，没法都搬上来，扫码关注 Java技术栈 公众号，获取更多最主流的 Java 技术干货 。

点击「阅读原文」带你飞～

本文分享自微信公众号 - Java技术栈（javastack）。
如有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一起分享。