Apache Dubbo反序列化漏洞CVE-2020-1948補丁被(bèi)繞過(guò)

2020年6月29日，武漢雲之巅監測到Apache Dubbo GitHub官方發(fā)布Pull requests修複了CVE-2020-1948漏洞補丁被(bèi)繞過(guò)現象，Dubbo <=2.7.7版本仍存在反序列化漏洞。目前官方還(hái)未發(fā)布新版本，漏洞屬0day級，風險極大。

漏洞描述

Apache Dubbo是一款應用廣泛的Java RPC分布式服務框架。Apache Dubbo于2020年6月23日披露在Dubbo Provider中存在一個反序列化遠程代碼執行漏洞（CVE-2020-1948），官方發(fā)布2.7.7版本修複漏洞，但近日該漏洞補丁被(bèi)繞過(guò)，且目前官方還(hái)未發(fā)布新版本，漏洞屬0day級，風險極大。武漢雲之巅提醒Apache Dubbo用戶盡快采取安全措施阻止漏洞攻擊。

影響版本

Apache Dubbo <=2.7.7

安全版本

暫無安全版本

安全建議

1. 禁止將(jiāng)Dubbo服務端端口開(kāi)放給公網，或僅僅隻對(duì)能(néng)夠連接至Dubbo服務端的可信消費端IP開(kāi)放。

2. Dubbo協議默認采用Hessian作爲序列化反序列化方式，該反序列化方式存在反序列化漏洞。在不影響業務的情況下，建議更換協議以及反序列化方式。具體更換方法可參考：http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html

相關鏈接

https://github.com/apache/dubbo/pull/6374