Apache Dubbo反序列化漏洞（CVE-2020-1948）

2020年6月23日，武漢雲之巅監測到 CVE-2020-1948 Apache Dubbo反序列化漏洞。

漏洞描述

Apache Dubbo是一款應用廣泛的Java RPC分布式服務框架。Apache Dubbo于2020年6月23日披露在Dubbo Provider中存在一個反序列化遠程代碼執行漏洞（CVE-2020-1948），攻擊者可以構造并發(fā)送帶有惡意參數負載的RPC請求，當惡意參數被(bèi)反序列化時將(jiāng)導緻遠程代碼執行。武漢雲之巅提醒Apache Dubbo用戶盡快采取安全措施阻止漏洞攻擊。

影響版本

Apache Dubbo 2.7.0 ~ 2.7.6

Apache Dubbo 2.6.0 ~ 2.6.7

Apache Dubbo 2.5.x 所有版本 (官方不再提供支持)。

安全版本

Apache Dubbo >= 2.7.7

安全建議

1. 建議將(jiāng)Dubbo升級至安全版本。下載地址參考 https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

2. 禁止將(jiāng)Dubbo服務端端口開(kāi)放給公網，或僅僅隻對(duì)能(néng)夠連接至Dubbo服務端的可信消費端IP開(kāi)放。

3. Dubbo協議默認采用Hessian作爲序列化反序列化方式，該反序列化方式存在反序列化漏洞。在不影響業務的情況下，建議更換協議以及反序列化方式。具體更換方法可參考：http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html