Apache Dubbo反序列化漏洞和Apache Tomcat AJP协议文件读取与包含漏洞

近日阿里云提示了如题两个漏洞，搜索了解了一下相关资料：

1.Apache Dubbo反序列化漏洞

https://blog.csdn.net/weixin_44337261/article/details/104337562?depth_1-utm_source=distribute.pc_relevant.none-task&utm_source=distribute.pc_relevant.none-task

https://www.anquanke.com/post/id/198747

Apache Dubbo是一款应用广泛的高性能轻量级的Java 远程调用分布式服务框架，支持多种通信协议。当网站安装了Apache Dubbo并且启用http协议进行通信时，攻击者可以向网站发送POST请求，在请求里可以执行一个反序列化的操作，由于没有任何安全校验，这个反序列化过程可以执行任意代码。这里，序列化是指把某个编程对象转换为字节序列的过程，而反序列化是指把字节序列恢复为某个编程对象的过程。

影响的版本范围：

漏洞影响的Apache Dubbo产品版本包括：2.7.0~2.7.4、2.6.0~2.6.7、2.5.x 的所有版本。

 

 

2.Apache Tomcat AJP协议文件读取与包含漏洞

https://blog.csdn.net/qq_31457413/article/details/104422536

Tomcat是Apache软件基金会Jakarta 项目中的一个核心项目，作为目前比较流行的Web应用服务器，深受Java爱好者的喜爱，并得到了部分软件开发商的认可。Tomcat服务器是一个免费的开放源代码的Web应用服务器，被普遍使用在轻量级Web应用服务的构架中。
2020年1月6日，国家信息安全漏洞共享平台（CNVD）收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞。Tomcat AJP协议由于存在实现缺陷导致相关参数可控，攻击者利用该漏洞可通过构造特定参数，读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能，攻击者可进一步实现远程代码的执行。
CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围
漏洞影响的产品版本包括：
Tomcat 6
Tomcat 7
Tomcat 8
Tomcat 9
CNVD平台对Apache Tomcat AJP协议在我国境内的分布情况进行统计，结果显示我国境内的IP数量约为55.5万，通过技术检测发现我国境内共有43197台服务器受此漏洞影响，影响比例约为7.8%。
 

 

了解了以上介绍，可以跟老板说继续安心睡大觉，我们没事！(ノ≧∀≦)ノ