Apache Dubbo反序列化漏洞风险通告
发布时间 2020-02-12漏洞编号和级别
CVE编号:CVE-2019-17564,危险级别:高危,CVSS分值:官方未评定
影响版本
2.7.0 <= Apache Dubbo <= 2.7.4
2.6.0 <= Apache Dubbo <= 2.6.7
Apache Dubbo = 2.5.x
漏洞概述
Apache Dubbo是一个分布式框架,致力于提供高性能透明化的RPC远程服务调用方案,以及SOA服务治理方案。Apache Dubbo在实际应用场景中主要负责解决分布式的相关需求。
Apache Dubbo存在反序列化漏洞,Apache Dubbo支持多种协议,官方推荐使用 Dubbo 协议,此漏洞是属于Apache Dubbo HTTP协议中的一个反序列化漏洞,主要原因在于当Apache Dubbo启用HTTP协议之后,Apache Dubbo在接受来自消费者的远程调用请求的时候存在一个不安全的反序列化行为,最终导致了远程任意代码执行。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布新版本修复漏洞,请尽快安装和应用更新:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5。
参考链接
https://www.mail-archive.com/dev@dubbo.apache.org/msg06225.html
京公网安备11010802024551号