正文

【漏洞预警】Apache Dubbo反序列化漏洞(CVE-2019-17564)

admin
admin V管理员 /0 评论 /22 阅读
0411
此篇文章发布距今已超过1114天,您需要注意文章的内容或图片是否可用!

2020年2月11日,阿里云应急响应中心监测到 CVE-2019-17564 Apache Dubbo反序列化漏洞。


漏洞描述

Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。Dubbo支持使用HTTP协议进行远程过程调用,该协议采用 Spring 的 HttpInvoker 实现,在处理输入流时将会进行反序列化操作。因此当Dubbo在接受到来自消费者的远程恶意调用请求时候,有可能触发恶意反序列化漏洞,导致远程任意代码执行。阿里云应急响应中心提醒 Apache Dubbo用户尽快采取安全措施阻止漏洞攻击


影响版本

Apache Dubbo < 2.7.5


安全版本

Apache Dubbo >= 2.7.5


安全建议

1. 升级至安全版本

2. 禁用HTTP协议,删除类似配置:<dubbo:protocol name=“http” />



相关链接

https://www.mail-archive.com/[email protected]/msg06226.html


云盾云安全中心应急漏洞模块已支持对该漏洞一键检测
阿里云WAF默认防御此漏洞攻击


我们会关注后续进展,请随时关注官方公告。

如有任何问题,可随时通过工单或服务电话95187联系反馈。

阿里云应急响应中心

2020.02.12