【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)补丁绕过通告
【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)补丁绕过通告
通告编号:NS-2020-0038-1
2020-06-30
TAG: | Apache Dubbo、反序列化、CVE-2020-1948、补丁绕过 |
|---|---|
漏洞危害: | 攻击者利用此漏洞,可实现远程代码执行。 |
版本: | 1.1 |
1
漏洞概述
6月23日,Apache Dubbo发布安全公告披露Provider默认反序列化导致的远程代码执行漏洞(CVE-2020-1948),攻击者可以发送带有无法识别的服务名或方法名及某些恶意参数负载的RPC请求,当恶意参数被反序列化时将导致代码执行。官方发布2.7.7版本对此漏洞进行了修复,但近日发现该修复补丁被绕过,漏洞仍可以触发,目前官方还没有发布更新的补丁。请相关用户尽快排查并采取防护措施。
Dubbo 是阿里巴巴公司开源的一款高性能Java RPC框架,使应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring 框架无缝集成。
参考链接:
https://www.mail-archive.com/dev@dubbo.apache.org/msg06544.html
https://github.com/apache/dubbo/pull/6374
SEE MORE →
2影响范围
受影响版本
- Apache Dubbo 2.7.0 - 2.7.7
- Apache Dubbo 2.6.0 - 2.6.7
- Apache Dubbo 2.5.x 所有版本 (官方不再支持)
3漏洞检测
3.1 版本检测
一:相关用户可在Dubbo的Web日志界面查看当前的Dubbo版本号,路径为/log.html或/sysinfo/logs
二:用户也可在项目的pom.xml文件中查看当前使用的Dubbo版本号
若版本在受影响范围内即存在安全风险。
3.2 产品检测
绿盟科技远程安全评估系统(RSAS)已具备针对此漏洞(CVE-2020-1948)的扫描检测能力,请有部署设备的用户升级至最新版本使用。
升级包版本号 | 升级包下载链接 | |
|---|---|---|
RSAS V6 系统插件包 | V6.0R02F01.1901 | http://update.nsfocus.com/update/downloads/id/106109 |
关于RSAS的配置指导,请参考如下链接:
https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg
4漏洞防护
4.1 防护措施
目前官方暂未针对此漏洞的补丁绕过发布更新,请相关用户保持关注,官方链接:https://github.com/apache/dubbo/releases
受影响的用户可采用下列措施进行防护:
1. 升级Dubbo 至2.7.7版本,并对入参类型进行检验,参考链接:https://github.com/apache/dubbo/pull/6374/commits/8fcdca112744d2cb98b349225a4aab365af563de
2. 关闭对公网开放的Dubbo服务端端口,仅允许可信任的IP访问。
3. Dubbo协议默认使用Hessian进行序列化和反序列化。在不影响业务的情况下,建议更换协议以及反序列化方式。具体方法请参考官方文档:http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html
END
作者:绿盟科技威胁对抗能力部
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。