Apache Dubbo 远程代码执行漏洞补丁可被绕过-金山云

官网公告 > 产品公告 > Apache Dubbo 远程代码执行漏洞补丁可被绕过

Apache Dubbo 远程代码执行漏洞补丁可被绕过

发布时间：2020-07-01 00:00:00

近日，金山云安全应急响应中心监测到Apache Dubbo远程代码执行漏洞的修复补丁仍可被绕过。Dubbo ≤2.7.7版本仍存在远程代码执行漏洞。

目前官方尚未发布新版本，该漏洞风险极大，请相关用户尽快排查并采取防护措施。

漏洞描述

Apache Dubbo是一种基于Java的高性能RPC框架，使应用可通过高性能的 RPC 实现服务的输出和输入功能，可以和 Spring 框架无缝集成，应用广泛影响面较大。

6月23日，金山云安全应急响应中心监测到Apache Dubbo 发布Dubbo 2.7.7版本，修复Provider默认反序列化远程代码执行漏洞（CVE-2020-1948）。近日，金山云安全应急响应中心发现该修复补丁可被绕过，风险仍然存在。经金山云安全团队分析，攻击者可以发送带有无法识别的服务名或方法名的RPC请求，以及一些恶意的参数负载。当恶意参数被反序列化时，可执行恶意代码。

风险等级

高危

影响版本

Apache Dubbo ≤2.7.7版本

修复建议

目前官方尚未发布安全版本，受影响的用户可以采取以下暂缓措施：

1. 升级至2.7.7版本，并对入参类型进行检验；具体请参考：

https://github.com/apache/dubbo/pull/6374/commits/8fcdca112744d2cb98b349225a4aab365af563de

2. 关闭对公网开放的Dubbo服务端端口，仅允许可信任的IP访问；

3. Dubbo协议默认使用Hessian进行序列化和反序列化。在不影响业务的情况下，建议更换协议以及反序列化方式。具体请参考：

http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html

参考链接