2020年6月29日，武漢云之巔監(jiān)測(cè)到Apache Dubbo GitHub官方發(fā)布Pull requests修復(fù)了CVE-2020-1948漏洞補(bǔ)丁被繞過(guò)現(xiàn)象，Dubbo <=2.7.7版本仍存在反序列化漏洞。目前官方還未發(fā)布新版本，漏洞屬0day級(jí)，風(fēng)險(xiǎn)極大。

漏洞描述

Apache Dubbo是一款應(yīng)用廣泛的Java RPC分布式服務(wù)框架。Apache Dubbo于2020年6月23日披露在Dubbo Provider中存在一個(gè)反序列化遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-1948），官方發(fā)布2.7.7版本修復(fù)漏洞，但近日該漏洞補(bǔ)丁被繞過(guò)，且目前官方還未發(fā)布新版本，漏洞屬0day級(jí)，風(fēng)險(xiǎn)極大。武漢云之巔提醒Apache Dubbo用戶盡快采取安全措施阻止漏洞攻擊。

影響版本

Apache Dubbo <=2.7.7

安全版本

暫無(wú)安全版本

安全建議

1. 禁止將Dubbo服務(wù)端端口開(kāi)放給公網(wǎng)，或僅僅只對(duì)能夠連接至Dubbo服務(wù)端的可信消費(fèi)端IP開(kāi)放。

2. Dubbo協(xié)議默認(rèn)采用Hessian作為序列化反序列化方式，該反序列化方式存在反序列化漏洞。在不影響業(yè)務(wù)的情況下，建議更換協(xié)議以及反序列化方式。具體更換方法可參考：http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html

相關(guān)鏈接

https://github.com/apache/dubbo/pull/6374