【漏洞预警】Apache Dubbo反序列化漏洞（CVE-2020-1948）-安全公告-阿里云服务-米姆科技官方网站

【漏洞预警】Apache Dubbo反序列化漏洞（CVE-2020-1948）

安全公告 | 2020-06-23 19:01:06

2020年6月23日，阿里云应急响应中心监测到 CVE-2020-1948 Apache Dubbo反序列化漏洞。

漏洞描述

Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。Apache Dubbo于2020年6月23日披露在Dubbo Provider中存在一个反序列化远程代码执行漏洞（CVE-2020-1948），攻击者可以构造并发送带有恶意参数负载的RPC请求，当恶意参数被反序列化时将导致远程代码执行。阿里云应急响应中心提醒Apache Dubbo用户尽快采取安全措施阻止漏洞攻击。

影响版本

Apache Dubbo 2.7.0 ~ 2.7.6

Apache Dubbo 2.6.0 ~ 2.6.7

Apache Dubbo 2.5.x 所有版本 (官方不再提供支持)。

安全版本

Apache Dubbo >= 2.7.7

安全建议

升级至安全版本或禁止Dubbo Provider对外开放

https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

阿里云云安全中心应急漏洞模块已支持对该漏洞一键检测

我们会关注后续进展，请随时关注官方公告。

如有任何问题，可随时通过工单或服务电话95187联系反馈。

阿里云应急响应中心

2020.06.23

【漏洞预警】Apache Dubbo反序列化漏洞（CVE-2020-1948）

在线客服

电话客服

网站二维码

微信公众号

Sodinokibi病毒解析及处置方案

阿里云双十一优惠活动怎么玩？

【升级】10月微消息队列MQTT升级公告