一、漏洞描述

Apache Dubbo是一个分布式框架,致力于提供高性能透明化的RPC远程服务调用方案以及SOA服务治理方案。Apache Dubbo在实际应用场景中主要负责解决分布式的相关需求。

6月23日,Apache Dubbo发布安全公告披露Provider默认反序列化导致的远程代码执行漏洞(CVE-2020-1948),攻击者可以发送带有无法识别的服务名或方法名及某些恶意参数负载的RPC请求,当恶意参数被反序列化时将导致代码执行。

6月29日,监测到CVE-2020-1948 Apache Dubbo反序列化漏洞补丁存在缺陷,可以绕过原有补丁并执行任意指令。经测试绕过有效。鉴于该漏洞影响较大,建议用户尽快自查修复。

漏洞评级:高危

二、 影响范围

2.7.0 <= Apache Dubbo <= 2.7.7

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo 全部 2.5.x 版本(不再被官方团队支持)

三、 处置建议

目前官方还未发布针对此漏洞绕过手法的补丁,建议参考以下方法进行缓解,并关注官方补丁动态,及时进行更新:

1.先升级到Dubbo 2.7.7,然后参考以下链接,对参数类型进行校验:

https://github.com/apache/dubbo/pull/6374/commits/8fcdca112744d2cb98b349225a4aab365af563de;

2.禁止将Dubbo服务端端口开放给公网,或仅仅只对能够连接至Dubbo服务端的可信消费端IP开放;

3.Dubbo协议默认采用Hessian作为序列化反序列化方式,该反序列化方式存在反序列化漏洞。在不影响业务的情况下,建议更换协议以及反序列化方式。具体更换方法可参考:http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html。

支持单位:

奇安信科技集团股份有限公司

阿里云计算有限公司

中国信息通信研究院

声明:本文来自网络安全威胁信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。