服务公告

全部公告 > 安全公告 > Apache Dubbo Hessian2远程代码执行漏洞(CVE-2020-11995)

Apache Dubbo Hessian2远程代码执行漏洞(CVE-2020-11995)

2020-08-18

一、概要

近日华为云监测到Apache Dubbo发布安全公告,披露其默认的反序列化协议 Hessian2存在远程代码执行漏洞(CVE-2020-11995)。在Hessian2对HashMap对象进行反序列化期间,存储在类HasMap中的某些函数将在一系列程序调用后被执行,攻击者可利用此漏洞触发远程代码执行。

华为云提醒使用Apache Dubbo的用户及时安排自检并做好安全加固。

参考链接:

https://www.mail-archive.com/dev@dubbo.apache.org/msg06676.html

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

Apache Dubbo 2.7.0 ~ 2.7.7

Apache Dubbo 2.6.0 ~ 2.6.8

Apache Dubbo 所有 2.5.x 版本 (官方已不再提供支持)

安全版本:

Apache Dubbo 2.7.8

Apache Dubbo 2.6.9

四、漏洞处置

目前,官方已发布新版本修复了该漏洞,请受影响的用户升级到安全版本:

Apache Dubbo 2.7.8下载地址:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.8

Apache Dubbo 2.6.9下载地址:https://github.com/apache/dubbo/releases/tag/dubbo-2.6.9

临时规避措施:

无法及时升级的用户,可参考官方提供的临时方案在Hessian2 3.2.9中设置支持白名单来降低安全风险。

参考链接:https://github.com/apache/dubbo-hessian-lite/releases/tag/v3.2.9

注:修复漏洞前请将资料备份,并进行充分测试。