Dubbo 爆出严重漏洞!

2020年2月13日,Apache Dubbo出现了一个较为严重的漏洞:反序列化漏洞(漏洞编号:CVE-2019-17564)。

攻击者利用该漏洞,可在目标网站上远程执行恶意代码,最终导致网站被控制、数据泄露等。


一、漏洞原理

Apache Dubbo是一款应用广泛的高性能轻量级的Java 远程调用分布式服务框架,支持多种通信协议。

当网站安装了Apache Dubbo并且启用http协议进行通信时,攻击者可以向网站发送POST请求,在请求里可以执行一个反序列化的操作,由于没有任何安全校验,这个反序列化过程可以执行任意代码。

这里,序列化是指把某个编程对象转换为字节序列的过程,而反序列化是指把字节序列恢复为某个编程对象的过程。


二、影响的版本范围

漏洞影响的Apache Dubbo产品版本包括:2.7.0~2.7.4、2.6.0~2.6.7、2.5.x 的所有版本。


三、防护方案

1、Apache Dubbo官方建议用户网站升级到安全的2.7.5版本。下载地址如下:

https://github.com/apache/dubbo/tree/dubbo-2.7.5。

2、如无法快速升级版本,或希望防护更多其他漏洞,可使用各云服务器WAF内置的防护规则对该漏洞进行防护,步骤如下:

1) 购买WAF。

2) 将网站域名添加到WAF中并完成域名接入。

3) 将Web基础防护的状态设置为“拦截”模式。

你们有使用 Dubbo 的么?哪个大版本呢?

来源:https://www.toutiao.com/a6793181470287462916

END

学习资料:

分享一份最新 Java 架构师学习资料

最近热文:

1、远程办公一周,我有话说!

2、写了一首 Java 表白诗,女朋友不愁了!

3、阿里面试 Java 都问什么?万字总结!

4、Vert.x!这是目前最快的 Java 框架

5、用户密码到底要怎么加密存储?

Java干货:

1、2020 最新 Java 面试题整理,建议收藏!

2、Oracle JDK 和 OpenJDK 有什么区别?

3、Java 14 令人期待的 5 大新特性!

4、Java中的对象都是在堆上分配的吗?

5、图文并茂,傻瓜都能看懂的JVM内存布局

Spring干货:

1、Spring 事务失效的 8 大原因,吊打面试官!

2、Spring 面试 7 大问题,你顶得住不?

3、Spring Boot 之配置导入,强大到不行!

4、Spring Cloud Greenwich最后计划版本发布!

5、Spring Cloud 升级最新 Greenwich 版本

本公众号干货实在太多了,没法都搬上来,扫码关注Java技术栈公众号,获取更多最主流的 Java 技术干货。

点击「阅读原文」带你飞~

  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

相关推荐
©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值