Apache Dubbo远程代码执行漏洞（CVE-2020-1948）安全通告

一、综述

近日，Apache Dubbo公布了一个反序列化导致的远程代码执行漏洞（CVE-2020-1948）。

Apache Dubbo 是一款高性能Java RPC框架。漏洞存在于 Apache Dubbo默认使用的反序列化工具 hessian 中，攻击者可能会通过发送恶意 RPC 请求来触发漏洞，这类 RPC 请求中通常会带有无法识别的服务名或方法名，以及一些恶意的参数负载。当恶意参数被反序列化时，达到代码执行的目的。

参考链接：

https://www.mail-archive.com/dev@dubbo.apache.org/msg06544.html

虽然官方发布了2.7.7版本对此漏洞进行了修复，但近日该补丁被绕过，漏洞仍可以触发，目前官方还没有发布更新的补丁，该漏洞属于0day。

二、受影响产品版本

Dubbo Version ＜＝ 2.7.7

三、不受影响产品版本

暂无安全版本

四、解决方案

官方暂时未发布最新版本，请用户保持关注。

https://github.com/apache/dubbo/releases/

用户可以采取以下临时措施进行防护：

1.关闭对公网开放的Dubbo服务端端口，仅允许可信任的IP访问；

2.由于漏洞源于Hessian的反序列化过程，在不影响自身业务的情况下，可以尝试替换其它反序列化方式。

参考链接：

https://github.com/apache/dubbo/pull/6374

http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html

信息化办公室

2020年7月1日

郑州大学版权所有，禁止非法转载！2020-07-14 08:39:43