注意!Apache Dubbo 这几个版本出现严重安全漏洞

点击上方Java之间”,选择“置顶或者星标”

你关注的就是我关心的!

注意!Apache Dubbo 这几个版本出现严重安全漏洞_第1张图片

来源https://urlify.cn/AZj2ai

上一篇:大名鼎鼎的LVS:常见的三种负载均衡方式比较!

2020年2月13日,华为云安全团队监测到应用广泛的Apache Dubbo出现一个较为严重的漏洞:反序列化漏洞(漏洞编号:CVE-2019-17564)。攻击者利用该漏洞,可在目标网站上远程执行恶意代码,最终导致网站被控制、数据泄露等。目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。

一、漏洞原理

Apache Dubbo是一款应用广泛的高性能轻量级的Java 远程调用分布式服务框架,支持多种通信协议。当网站安装了Apache Dubbo并且启用http协议进行通信时,攻击者可以向网站发送POST请求,在请求里可以执行一个反序列化的操作,由于没有任何安全校验,这个反序列化过程可以执行任意代码。这里,序列化是指把某个编程对象转换为字节序列的过程,而反序列化是指把字节序列恢复为某个编程对象的过程。

二、影响的版本范围

漏洞影响的Apache Dubbo产品版本包括:2.7.0~2.7.4、2.6.0~2.6.7、2.5.x 的所有版本。

三、防护方案

1、Apache Dubbo官方建议用户网站升级到安全的2.7.5版本。下载地址如下:https://github.com/apache/dubbo/tree/dubbo-2.7.5。2、如无法快速升级版本,或希望防护更多其他漏洞,可使用华为云WAF内置的防护规则对该漏洞进行防护,步骤如下:1) 购买WAF。2) 将网站域名添加到WAF中并完成域名接入。3) 将Web基础防护的状态设置为“拦截”模式。

四、最后

你们公司用的是Dubbo还是SpringCloud?

最近热文阅读:

1、大名鼎鼎的LVS:常见的三种负载均衡方式比较!

2、IntelliJ IDEA 的 2020 ,很牛皮!(破音)

3、终于有人把 Nginx 说清楚了,图文详解!

4、一条简单的更新语句,MySQL是如何加锁的?

5、推荐几个IDEA插件,Java开发者撸码利器

6、Java8很香但还是想升级到Java11,教你怎么从Java8升级到Java11

7、代码生成器:IDEA 强大的 Live Templates

8、Java编程中,有哪些好的习惯从一开始就值得坚持?

9、聊聊在阿里远程办公那点事儿

10、面试必备的 “零拷贝” 问题!从头给你说!

关注公众号,你想要的Java都在这里

你可能感兴趣的:(注意!Apache Dubbo 这几个版本出现严重安全漏洞)