【漏洞通告】Apache Dubbo远程代码执行漏洞(CVE-2020-1948) 补丁绕过
2020-06-30
综述
6月23日,js1996官网登录发布了Apache Dubbo的一个反序列化导致的远程代码执行漏洞(CVE-2020-1948)通告。
http://blog.nsfocus.net/apache-dubbo-0623/
Apache Dubbo 是一款高性能Java RPC框架。漏洞存在于 Apache Dubbo默认使用的反序列化工具 hessian 中,攻击者可能会通过发送恶意 RPC 请求来触发漏洞,这类 RPC 请求中通常会带有无法识别的服务名或方法名,以及一些恶意的参数负载。当恶意参数被反序列化时,达到代码执行的目的。
官方发布了2.7.7版本对此漏洞进行了修复,但近日该补丁被绕过,漏洞仍可以触发,目前官方还没有发布更新的补丁,该漏洞属于0-day。
受影响产品版本
Dubbo Version <= 2.7.7
不受影响产品版本
暂无安全版本
解决方案
官方暂时未发布最新版本,请用户保持关注。
https://github.com/apache/dubbo/releases/
用户可以采取以下临时措施进行防护:
1. 关闭对公网开放的Dubbo服务端端口,仅允许可信任的IP访问;
2. 由于漏洞源于Hessian的反序列化过程,在不影响自身业务的情况下,可以尝试替换其它反序列化方式。
参考链接:
https://github.com/apache/dubbo/pull/6374
http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html
声 明
本安全公告仅用来描述可能存在的安全问题,js1996官网登录不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,js1996官网登录以及安全公告作者不为此承担任何责任。js1996官网登录拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经js1996官网登录允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于js1996官网登录
js1996官网登录集团股份有限公司(简称js1996官网登录)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,js1996官网登录在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
js1996官网登录集团股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:js1996官网登录,股票代码:300369。