2020年2月13日,Apache Dubbo出现了一个较为严重的漏洞: 反序列化漏洞 (漏洞编号:CVE-2019-17564)。
攻击者利用该漏洞,可在目标网站上远程执行恶意代码,最终导致网站被控制、数据泄露等。
一、漏洞原理
Apache Dubbo是一款应用广泛的高性能轻量级的Java 远程调用分布式服务框架,支持多种通信协议。
当网站安装了Apache Dubbo并且启用http协议进行通信时,攻击者可以向网站发送POST请求,在请求里可以执行一个反序列化的操作,由于没有任何安全校验,这个反序列化过程可以执行任意代码。
这里,序列化是指把某个编程对象转换为字节序列的过程,而反序列化是指把字节序列恢复为某个编程对象的过程。
二、影响的版本范围
漏洞影响的Apache Dubbo产品版本包括:2.7.02.7.4、2.6.02.6.7、2.5.x 的所有版本。
三、防护方案
1、Apache Dubbo官方建议用户网站升级到安全的2.7.5版本。下载地址如下:
https://github.com/apache/dubbo/tree/dubbo-2.7.5。
2、如无法快速升级版本,或希望防护更多其他漏洞,可使用各云服务器WAF内置的防护规则对该漏洞进行防护,步骤如下:
购买WAF。
将网站域名添加到WAF中并完成域名接入。
将Web基础防护的状态设置为“拦截”模式。
你们有使用 Dubbo 的么?哪个大版本呢?
来源:https://www.toutiao.com/a6793181470287462916
END
学习资料:
最近热文:
Java干货:
Spring干货:
4、Spring Cloud Greenwich最后计划版本发布!
5、Spring Cloud 升级最新 Greenwich 版本
本公众号干货实在太多了,没法都搬上来,扫码关注 Java技术栈 公众号,获取更多最主流的 Java 技术干货 。
点击「阅读原文」带你飞~
本文分享自微信公众号 - Java技术栈(javastack)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。