2020年6月23日，武漢云之巔監(jiān)測到 CVE-2020-1948 Apache Dubbo反序列化漏洞。

漏洞描述

Apache Dubbo是一款應(yīng)用廣泛的Java RPC分布式服務(wù)框架。Apache Dubbo于2020年6月23日披露在Dubbo Provider中存在一個反序列化遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-1948），攻擊者可以構(gòu)造并發(fā)送帶有惡意參數(shù)負(fù)載的RPC請求，當(dāng)惡意參數(shù)被反序列化時將導(dǎo)致遠(yuǎn)程代碼執(zhí)行。武漢云之巔提醒Apache Dubbo用戶盡快采取安全措施阻止漏洞攻擊。

影響版本

Apache Dubbo 2.7.0 ~ 2.7.6

Apache Dubbo 2.6.0 ~ 2.6.7

Apache Dubbo 2.5.x 所有版本 (官方不再提供支持)。

安全版本

Apache Dubbo >= 2.7.7

安全建議

1. 建議將Dubbo升級至安全版本。下載地址參考 https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

2. 禁止將Dubbo服務(wù)端端口開放給公網(wǎng)，或僅僅只對能夠連接至Dubbo服務(wù)端的可信消費(fèi)端IP開放。

3. Dubbo協(xié)議默認(rèn)采用Hessian作為序列化反序列化方式，該反序列化方式存在反序列化漏洞。在不影響業(yè)務(wù)的情況下，建議更換協(xié)議以及反序列化方式。具體更換方法可參考：http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html