文章插图
【CVE-2020-1948: Apache Dubbo 远程代码执行漏洞通告】
0x01 漏洞背景2020年06月23日,360CERT监测发现 Apache Dubbo 官方 发布了 Apache Dubbo 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-1948,漏洞等级:高危 。
Apache Dubbo 是一款高性能、轻量级的开源JAVA RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现 。
Apache Dubbo Provider 存在 反序列化漏洞,攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行 。
该漏洞的相关技术细节已公开 。
对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击 。
0x02 风险等级360CERT对该漏洞的评定结果如下
文章插图
0x03 漏洞详情Apache Dubbo Provider 存在 反序列化漏洞,攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行 。
0x04 影响版本
- Dubbo 2.7.0 - 2.7.6
- Dubbo 2.6.0 - 2.6.7
- Dubbo 2.5.x (官方不再维护)
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7
0x06 相关空间测绘数据360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现Dubbo在国内均有广泛使用,具体分布如下图所示 。
文章插图
0x07 产品侧解决方案360城市级网络安全监测服务360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类漏洞进行监测,请用户联系相关产品区域负责人获取对应产品 。
0x08 时间线2020-06-22 Apache Dubbo 官方发布通告
2020-06-23 360CERT发布预警
0x09 参考链接[CVE-2020-1948] Apache Dubbo Provider default deserialization cause RCE
https://www.mail-archive.com/dev@dubbo.apache.org/msg06544.html
推荐阅读
- 开源一款超实用的 Dubbo 测试工具,已用半年,感觉很有feel
- 关于 Apache ShardingSphere 5.x 的分片算法 API 设计的公开讨论
- Apache CommonCollection Gadget 几种特殊的玩法
- 80后架构师教你学ApacheBeam,一个开源统一分布式数据处理编程库
- Apache Airflow的完整介绍
- Apache Ignite 内存速度级的分布式数据库
- IIS、Apache、Tomcat、Nginx、CDN,它们之间有何区别?
- 是什么使Apache Druid非常适合实时分析?
- 2019年最吸引攻击炮火的 Web 框架:WordPress 和 Apache Struts
- 10分钟带你逆袭Kafka!