专栏首页Java研发军团Dubbo的严重漏洞!数据严重泄露!附解决方案

Dubbo的严重漏洞!数据严重泄露!附解决方案

点击上方“Java研发军团”,选择“置顶公众号”

关键时刻,第一时间送达!

阅读本文需要5分钟

2020年2月13日,华为云安全团队监测到应用广泛的Apache Dubbo出现一个较为严重的漏洞:反序列化漏洞(漏洞编号:CVE-2019-17564)。攻击者利用该漏洞,可在目标网站上远程执行恶意代码,最终导致网站被控制、数据泄露等。目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。

一、漏洞原理

Apache Dubbo是一款应用广泛的高性能轻量级的Java 远程调用分布式服务框架,支持多种通信协议。当网站安装了Apache Dubbo并且启用http协议进行通信时,攻击者可以向网站发送POST请求,在请求里可以执行一个反序列化的操作,由于没有任何安全校验,这个反序列化过程可以执行任意代码。这里,序列化是指把某个编程对象转换为字节序列的过程,而反序列化是指把字节序列恢复为某个编程对象的过程。

二、影响的版本范围

漏洞影响的Apache Dubbo产品版本包括:2.7.0~2.7.4、2.6.0~2.6.7、2.5.x 的所有版本。

三、防护方案

1、Apache Dubbo官方建议用户网站升级到安全的2.7.5版本。下载地址如下:

https://github.com/apache/dubbo/tree/dubbo-2.7.5。

2、如无法快速升级版本,或希望防护更多其他漏洞,可使用华为云WAF内置的防护规则对该漏洞进行防护,步骤如下:

1) 购买WAF。

2) 将网站域名添加到WAF中并完成域名接入。

3) 将Web基础防护的状态设置为“拦截”模式。

四、写在最后

你们公司用的是Dubbo还是SpringCloud?如果用的是Dubbo,又是哪个大版本呢(或者基于哪个大版本深度定制)?

来源:华为云 原文地址:https://www.toutiao.com/a6793181470287462916

其它优质文章请见后台公众号菜单

本文分享自微信公众号 - Java研发军团(ityuancheng)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-02-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【Java工程师必备素质】你设计的接口,够优雅吗?

    很多非资深接口设计者,在设计接口时,总认为接口所做的事越多,越牛叉,这是非常严重的错误认识。

    用户5224393
  • 有一种改变未来架构演化方向的技术,叫Kubernetes

    2019年,是云原生理念和实践被广泛认可和传播的关键一年,作为未来云端及架构演进的新方向,在过去几年间,以 Kubernetes 为核心的“云原生”运动正不断扩...

    用户5224393
  • 动态代理之投鞭断流!看一下MyBatis的底层实现原理!

    一日小区漫步,我问朋友:Mybatis中声明一个interface接口,没有编写任何实现类,Mybatis就能返回接口实例,并调用接口方法返回数据库数据,你知道...

    用户5224393
  • Python数据可视化分析(一)

    个人前面也说了强烈建议使用Pycharm作为Python初学者的首选IDE,主要还是因为其强大的插件功能,很多环境都能一键安装完成,像本文的matplotlib...

    叫我龙总
  • 身为前端leader,我是如何招人的?

    最近又到了求职面试高峰,有很多同学问我关于前端面试的事情。今天我就来聊聊,作为创业公司的前端leader,我平时招人喜欢招什么类型的候选人,我喜欢考察哪些方面。...

    闰土大叔
  • 数据结构|希尔排序

    希尔排序是插入排序的一种,是直接插入排序算法的一种更高效的改进版。(学习希尔排序之前需要了解插入排序)。

    算法与编程之美
  • 信息泄漏篇

    Robots协议是网站国际互联网界通行的道德规范,其目的是保护网站数据和敏感信息、确保用户个人信息和隐私不被侵犯,如果robots.txt文件编辑的太过详细,反...

    徐焱
  • solidity在线编辑器Remix中文版 原

    Remix是以太坊官方开源的Solidity在线集成开发环境,可以使用Solidity语言在网页内完成以太坊智能合约的在线开发、在线编译、在线测试、在线部署、在...

    用户1408045
  • 2018,丁磊的野心静悄悄

    别的CEO现身为自家无人挖掘机站台,丁磊却润物细无声每天八次出现在网易严选的推送中。

    镁客网
  • Spring Security OAuth2 实现登录互踢

    一个账号只能一处登录,类似的业务需求在现有后管类系统是非常常见的。 但在原有的 spring security oauth2 令牌方法流程(所谓的登录)无法满足...

    冷冷

扫码关注云+社区

领取腾讯云代金券