开发者社区 > 云原生 > 正文

CVE-2020-1948 漏洞是否影响2.6.8版本?

摘要:

Severity: Important

Vendor: The Dubbo Project Team

Versions Affected: Dubbo 2.7.0 to 2.7.6 Dubbo 2.6.0 to 2.6.7 Dubbo all 2.5.x versions (not supported by official team any longer)

Description: This vulnerability can affect all Dubbo users stay on version 2.7.6 or lower.

如漏洞描述,2.6.8不在受影响的范围内。但又说低于2.7.6都受影响,建议升级到2.7.7解决漏洞。 需要确认2.6.8是否受该漏洞影响,是否需要升级到2.7.7?

原提问者GitHub用户kentwang94

展开
收起
大圣东游 2023-05-11 20:12:35 1297 0
1 条回答
写回答
取消 提交回答
  • 引用漏洞发现者的话(http://rui0.cn/archives/1338): “这里需要注意一下,因为最近的Dubbo反序列化漏洞公布了。所以需要补充一下,因为主题的关系文章中只提到了Dubbo的toString触发点,但是Dubbo实际上在刚传入序列化值时也有一个触发点,漏洞公布的邮件里并没有涉及全部的细节以及poc,所以一些版本如果在代码层面只去掉输出arguments处理,仍然还有其他触发位置可能存在风险。

    建议各位开发者尽量采取升级措施,或在代码层面去掉arguments的输出同时对Hessian进行加固。“

    根本问题在Hessian协议上,not found只是一个触发点,在目前的版本中,还存在一个已知触发点没有公布,大概率有更多的触发点。因此建议维持最新版,或参考https://xz.aliyun.com/t/7238,对Hessian进行加固,并保持SPI加入的黑名单最新。

    最省心的方法是将RPC协议换为protobuf(官方文档里有方法),不需要关注太多安全方面的知识,但需要学习成本和服务运行成本。长远来看很值得。

    原回答者GitHub用户Ph0rse

    2023-05-12 12:11:31
    赞同 展开评论 打赏
问答地址:

阿里云拥有国内全面的云原生产品技术以及大规模的云原生应用实践,通过全面容器化、核心技术互联网化、应用 Serverless 化三大范式,助力制造业企业高效上云,实现系统稳定、应用敏捷智能。拥抱云原生,让创新无处不在。

热门讨论

热门文章

相关电子书

更多
低代码开发师(初级)实战教程 立即下载
冬季实战营第三期:MySQL数据库进阶实战 立即下载
阿里巴巴DevOps 最佳实践手册 立即下载