原文来自:安全客

链接:https://www.anquanke.com/post/id/209102

0x01 漏洞背景

2020年06月23日, 360CERT监测发现 Apache Dubbo 官方 发布了 Apache Dubbo 远程代码执行的风险通告,该漏洞编号为 CVE-2020-1948,漏洞等级:高危

Apache Dubbo 是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。关注微信公众号:互联网架构师,在后台回复:2T,可以获取我整理的教程,都是干货。

Apache Dubbo Provider 存在反序列化漏洞,攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。

该漏洞的相关技术细节已公开。

对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。

0x02 风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 高危
影响面 广泛

0x03 漏洞详情

Apache Dubbo Provider 存在反序列化漏洞,攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。

0x04 影响版本

  • Dubbo 2.7.0 – 2.7.6

  • Dubbo 2.6.0 – 2.6.7

  • Dubbo 2.5.x (官方不再维护)

0x05 修复建议

通用修补建议:

建议广大用户及时升级到2.7.7或更高版本,下载地址为:

https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

0x06 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现Dubbo在国内均有广泛使用,具体分布如下图所示。

0x07 时间线

2020-06-22 Apache Dubbo 官方发布通告

2020-06-23 360CERT发布预警

关微信公众号:互联网架构师,在后台回复:2T,可以获取我整理的教程,都是干货。

猜你喜欢

1、GitHub 标星 3.2w!史上最全技术人员面试手册!FackBoo发起和总结

2、如何才能成为优秀的架构师?

3、从零开始搭建创业公司后台技术栈

4、程序员一般可以从什么平台接私活?

5、37岁程序员被裁,120天没找到工作,无奈去小公司,结果懵了...

6、滴滴业务中台构建实践,首次曝光

7、不认命,从10年流水线工人,到谷歌上班的程序媛,一位湖南妹子的励志故事

8、15张图看懂瞎忙和高效的区别

9、2T架构师学习资料干货分享

最新!Dubbo 远程代码执行漏洞通告,速度升级相关推荐

  1. 【更新1.0:PoC发布】CVE-2020-1350: Windows DNS Server蠕虫级远程代码执行漏洞通告

    0x00 更新概览 2020年07月16日,360CERT监测到 FSecureLabs 发布了 PoC,可造成拒绝服务影响.本次更新标识该漏洞极易可能在短时间内出现大规模攻击态势. 具体更新详情可参 ...

  2. CVE-2021-1647:Microsoft Defender远程代码执行漏洞通告

    报告编号:B6-2021-011301 报告来源:360CERT 报告作者:360CERT 更新日期:2021-01-13 0x01漏洞简述 2021年01月13日,360CERT监测发现Micros ...

  3. CVE-2020-17530: Apache Struts2 远程代码执行漏洞通告

    报告编号:B6-2020-120801 报告来源:360CERT 报告作者:360CERT 更新日期:2020-12-08 0x01 漏洞简述 2020年12月08日,360CERT监测发现 stru ...

  4. [转载] --- Fastjson1.2.68版及以下全版本远程代码执行漏洞通告

    再这样,真的要放弃fastjson了 [安全通告]Fastjson <=1.2.68全版本远程代码执行漏洞通告 尊敬的腾讯云用户,您好! 近日,腾讯云安全运营中心监测到,Fastjson < ...

  5. CVE-2020-16875: Microsoft Exchange远程代码执行漏洞通告

    https://mp.weixin.qq.com/s/-Yo_EH30qJQbRRIk_1MK1g 360CERT 三六零CERT 9月9日 报告编号:B6-2020-090902 报告来源:360C ...

  6. windows server 2012 远程连不上_CVE20201350 | Windows DNS Server远程代码执行漏洞通告

    0x00 漏洞概述 CVE   ID CVE-2020-1350 时     间 2020-07-15 类     型 RCE 等     级 严重 远程利用 是 影响范围 0x01 漏洞详情 微软于 ...

  7. 最新log4j2 远程代码执行漏洞(紧急扩散)

    目录 一.问题描述 二.漏洞简介 三.临时解决方案 一.问题描述 在12月9日晚间出现了Apache Log4j2 远程代码执行漏洞攻击代码.该漏洞利用无需特殊配置,经多方验证,Apache Stru ...

  8. c++获取一段代码的执行时间_微软IE浏览器JScript脚本引擎远程代码执行漏洞通告...

    文档信息 编号 QiAnXinTI-SV-2019-0022 关键字 IE JScript RCE 远程命令执行CVE-2019-1367 发布日期 2019年09月24日 更新日期 2019年09月 ...

  9. 华硕路由器远程代码执行漏洞通告

    ## 背景 2020年08月03日,国内安全厂商极光无限发布了<漏洞公告 | 华硕(ASUS)家庭无线路由器远程代码执行0day>的风险通告. ## 风险等级 高危 ## 漏洞详情 未经过 ...

  10. 通达OA远程代码执行漏洞通告

    致远OA ajax.do登录绕过任意文件上传 漏洞描述 致远OA是一套办公协同管理软件.近日,奇安信CERT监测到致远OA的相关漏洞信息.由于致远OA旧版本某些接口存在未授权访问,以及部分函数存在过滤 ...

最新文章

  1. 176页报告辟谣自动化时代的就业危机(附下载)
  2. 苹果核 - 页面动态化的基础 —— Tangram
  3. win8计算机休眠的区别,详细说明win8和win10系统中待机,休眠和睡眠的功能和区别_Computer Basics_IT /...
  4. Storm和Kafka集成的重要生产错误和修复
  5. 三十、详测 Generics Collections: TObjectList、TObjectQueue、TObjectStack
  6. 一个箱子的梦想_长葛这中学“建”了一个“梦想厅”……
  7. vmware虚机无法重启关机的强制处理办法
  8. DeepFashion服装数据集
  9. 蓝屏dump分析教程
  10. 自学单片机能找到工作吗?能有出路吗?
  11. 魅族android11,魅族17系列即将吃上安卓11,信息保护更稳了?
  12. Google搜索引擎命令大全
  13. 料酒是什么,怎么用?
  14. 【Pigeon源码阅读】服务调用请求流程解析(六)
  15. 代码的坏味道之十七 :Inappropriate Intimacy(狎昵关系)
  16. 公众号第三方平台开发 创建公众号第三方平台
  17. 图像分类之:经典机器学习 Battle 深度学习
  18. 作词:符如坤(2018.08.27)
  19. 台式计算机怎么截屏,台式电脑,怎么截图全屏?
  20. rpgmakermv(6) YEP_ItemSynthesis.js物品合成插件

热门文章

  1. jq 实现头像(气泡式浮动)
  2. Apache Struts 2的命名空间实战
  3. 缓存DNS服务器和主从DNS服务器的快速搭建详解——续
  4. 给java虚拟机增加一个属性,java -D
  5. 【转】Unix的文件系统的内部结构,主要是超级块、inode相关知识
  6. 话里话外:传统到按单制造业的ERP变革
  7. 如何通过配置tomcat或是web.xml让ie直接下载txt类型的文件
  8. Ps 初学者教程,如何使用图层蒙版合成图像?
  9. 如何在苹果Mac上设置文档样板,开启文档时自动复制?
  10. 苹果Mac数据恢复工具:​​​​​​​​Disk Drill Enterprise