安全通告
首页技术支持 安全通告

天融信关于Apache Dubbo远程代码执行漏洞(CVE-2020-1948)风险提示

发布时间:2020-06-24查看次数:2607
分享到

0x00背景介绍

6月23日,阿尔法实验室监测到Apache Dubbo官方发布了 Apache Dubbo Provider反序列化远程代码执行漏洞。

Apache Dubbo 是一个高性能优秀的服务框架,使得应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring 框架无缝集成。

0x01漏洞描述

Apache Dubbo Provider 存在 反序列化漏洞,攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意有效载荷,当恶意参数被反序列化时,可以造成远程代码执行

0x02漏洞编号

CVE-2020-1948

0x03漏洞等级

高危

0x04受影响版本

Apache Dubbo 2.7.0 - 2.7.6
Apache Dubbo 2.6.0 - 2.6.7
Apache Dubbo 2.5.x 所有版本 (官方不再提供支持)

0x05修复建议

建议Apache Dubbo用户及时更新至2.7.7及以上版本,下载地址如下
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

0x06支持热线

天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展,如有需要请拨打7 x 24小时客服联系电话:400-777-0777。

0x07声明

天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。