首页 » 安全预警 » 正文

【高危安全通告】Apache Dubbo反序列化漏洞CVE-2020-1948补丁被绕过

2020年6月29日,安全狗应急响应中心监测到Apache Dubbo GitHub官方发布Pull requests修复CVE-2020-1948漏洞补丁存在被绕过现象,Dubbo <=2.7.7版本仍存在反序列化漏洞。目前官方还未发布新版本,漏洞属0day级,风险极大。

时间线

2020年6月23日,安全狗发布【漏洞预警】Apache Dubbo反序列化漏洞(CVE-2020-1948)

2020年6月29日,安全狗监测到CVE-2020-1948漏洞补丁被绕过,风险依旧存在。

临时处置措施

1. 禁止将Dubbo服务端端口开放给公网,或仅仅只对能够连接至Dubbo服务端的可信消费端IP开放。

2. Dubbo协议默认采用Hessian作为序列化反序列化方式,该反序列化方式存在反序列化漏洞。在不影响业务的情况下,建议更换协议以及反序列化方式。具体更换方法可参考:

http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html

【备注】:我们会关注后续进展,请随时关注官方公告

发表评论