服务公告
Apache Dubbo Hessian2远程代码执行漏洞(CVE-2020-11995)
2020-08-18
一、概要
近日华为云监测到Apache Dubbo发布安全公告,披露其默认的反序列化协议 Hessian2存在远程代码执行漏洞(CVE-2020-11995)。在Hessian2对HashMap对象进行反序列化期间,存储在类HasMap中的某些函数将在一系列程序调用后被执行,攻击者可利用此漏洞触发远程代码执行。
华为云提醒使用Apache Dubbo的用户及时安排自检并做好安全加固。
参考链接:
https://www.mail-archive.com/dev@dubbo.apache.org/msg06676.html
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
Apache Dubbo 2.7.0 ~ 2.7.7
Apache Dubbo 2.6.0 ~ 2.6.8
Apache Dubbo 所有 2.5.x 版本 (官方已不再提供支持)
安全版本:
Apache Dubbo 2.7.8
Apache Dubbo 2.6.9
四、漏洞处置
目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本:
Apache Dubbo 2.7.8下载地址:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.8
Apache Dubbo 2.6.9下载地址:https://github.com/apache/dubbo/releases/tag/dubbo-2.6.9
临时规避措施:
无法及时升级的用户,可参考官方提供的临时方案在Hessian2 3.2.9中设置支持白名单来降低安全风险。
参考链接:https://github.com/apache/dubbo-hessian-lite/releases/tag/v3.2.9
注:修复漏洞前请将资料备份,并进行充分测试。