Dubbo 反序列化漏洞,可导致远程代码执行

oschina
 oschina
发布于 2020年06月26日
收藏 7

近日 Dubbo 官方报告了一个 Dubbo 远程代码执行问题(CVE-2020-1948),该问题由 Provider 反序列化漏洞引起。根据介绍,攻击者可以使用无法识别的服务名称或方法名称,并带上一些恶意参数有效载荷发送 RPC 请求。当恶意参数反序列化后,将执行一些恶意代码。

受影响的版本:

  • 2.7.0 <= Dubbo Version <= 2.7.6
  • 2.6.0 <= Dubbo Version <= 2.6.7
  • 所有 2.5.x 版本(官方团队不再支持)

所有 Dubbo 版本都可以升级到 2.7.7 或更高版本,避免该漏洞:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

详情查看邮件列表

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:Dubbo 反序列化漏洞,可导致远程代码执行
加载中

精彩评论

雨翔河
雨翔河
听起来很爆炸,但是rpc服务大多数情况下都是内部调用,问题不大。
cielSwift
cielSwift
能用http就不要用rpc
薯粉1Q84
薯粉1Q84
人家内部压根不用
欧阳春晖
欧阳春晖
你不懂RPC
sunday12345
sunday12345
预感 dubbo 会像 fastjson一样,养起一批安全人员!

最新评论(15

OSC_xfJIJY
OSC_xfJIJY
应用场景不一样,dubbo要是http实现rpc就没人用了
买房也用券
买房也用券
说的一惊一乍的。实际上嘛。谁特么在乎
叫我刀刀
叫我刀刀
还在学习dubbo的路上
鬼面书生灬
鬼面书生灬
豆包,豆包。
cn_yaojin
cn_yaojin
赞成楼上,你不懂RPC
薯粉1Q84
薯粉1Q84
人家内部压根不用
开源中国首席罗纳尔多
开源中国首席罗纳尔多
您好,请问漏洞的使用原理代码在哪可以看?
Yoona520
Yoona520
阿里应该像当年的去IOE一样,开始去FastJson
huyong5802
huyong5802
问题的根源应该就是fastjson的那个漏洞。所以只要fastjson有漏洞,dubbo就要打补丁。🤣
技术界小学生
技术界小学生
会不会跟fastjson一样隔几个月爆炸一次:satisfied:
返回顶部
顶部