预警|Apache Dubbo漏洞补丁绕过,阿里云上可默认拦截,请尽快修复-阿里云开发者社区

开发者社区> 阿里云安全> 正文

预警|Apache Dubbo漏洞补丁绕过,阿里云上可默认拦截,请尽快修复

简介: 针对这一情况,阿里云默认防御已启动紧急响应,为阿里云上受影响客户免费提供一个月的虚拟补丁帮助缓解该漏洞的影响,建议利用这个期间尽快完成漏洞修复,避免该漏洞被利用造成数据、资产的损失。

2020年6月29日,阿里云应急响应中心监测到 CVE-2020-1948 Apache Dubbo反序列化漏洞补丁存在缺陷,可以绕过原有补丁并执行任意指令。

针对这一情况,阿里云默认防御已启动紧急响应,为阿里云上受影响客户免费提供一个月的虚拟补丁帮助缓解该漏洞的影响,建议利用这个期间尽快完成漏洞修复,避免该漏洞被利用造成数据、资产的损失。

时间线

  • 2020.06.23 监测到 CVE-2020-1948 Apache Dubbo反序列化漏洞
  • 2020.06.29 监测到 CVE-2020-1948 Apache Dubbo反序列化漏洞 补丁绕过

漏洞描述

Apache Dubbo是一种基于Java的高性能RPC框架。Apache Dubbo官方披露在Dubbo Provider中存在一个反序列化远程代码执行漏洞(CVE-2020-1948),攻击者可以构造并发送带有恶意参数负载的RPC请求,当恶意参数被反序列化时将导致远程代码执行。

目前,2.7.7版本的官方补丁中存在缺陷,攻击者可以绕过并执行任意指令,危害极大。

漏洞影响范围

  • Apache Dubbo 2.7.0~2.7.7
  • Apache Dubbo 2.6.0~2.6.7
  • Apache Dubbo 2.5.x系列所有版本(官方不再提供支持)

安全建议

目前官方还未发布针对此漏洞绕过手法的补丁,在阿里云提供一个月的默认防御期限内,建议客户参考以下方法进行缓解,并关注官方补丁动态,及时进行更新:

  1. 升级至2.7.7版本,并根据https://github.com/apache/dubbo/pull/6374/commits/8fcdca112744d2cb98b349225a4aab365af563de的方法进行参数校验
  2. 禁止将Dubbo服务端端口开放给公网,或仅仅只对能够连接至Dubbo服务端的可信消费端IP开放
  3. Dubbo协议默认采用Hessian作为序列化反序列化方式,该反序列化方式存在反序列化漏洞。在不影响业务的情况下,建议更换协议以及反序列化方式。具体更换方法可参考:http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html

安全产品建议

建议使用阿里云安全的下一代云防火墙产品,即使在官方没有发布针对此漏洞绕过手法的补丁情况下,其阻断恶意外联、配置智能策略的功能,也能够从根本上阻止防御入侵。

版权声明:本文中所有内容均属于阿里云开发者社区所有,任何媒体、网站或个人未经阿里云开发者社区协议授权不得转载、链接、转贴或以其他方式复制发布/发表。申请授权请邮件developerteam@list.alibaba-inc.com,已获得阿里云开发者社区协议授权的媒体、网站,在转载使用时必须注明"稿件来源:阿里云开发者社区,原文作者姓名",违者本社区将依法追究责任。 如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:developer2020@service.aliyun.com 进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:

让上云更放心,让云上更安全。

官方博客
官网链接