行業動态

了(le)解最新網絡安全動态及行業資訊

當前位置:首頁>新聞中心>行業動态
全部 5 公司動态 1 行業動态 4

漏洞通(tōng)告:Apache Dubbo反序列化(huà)漏洞(CVE-2020-1948)

時(shí)間:2020-06-02   訪問量:3535

Apache Dubbo反序列化(huà)漏洞 (CVE-2020-1948)

      危險等級:高(gāo)

漏洞危害:

Dubbo協議(yì)實現了(le)一種遠(yuǎn)程方法調用(yòng)的(de)框架,在傳參的(de)過程中,會涉及到數據的(de)序列化(huà)和(hé)反序列化(huà)操作。如果不做(zuò)嚴格校驗,在反序列化(huà)構建參數對(duì)象時(shí),有可(kě)能會用(yòng)到JNDI接口功能,而使服務端去加載遠(yuǎn)程的(de)Class文件,通(tōng)過在Class文件的(de)構造函數或者靜态代碼塊中插入惡意語句從而達到遠(yuǎn)程代碼執行的(de)攻擊效果。

影(yǐng)響範圍:

Apache Dubbo 2.7.0 to 2.7.6

Apache Dubbo 2.6.0 to 2.6.7

Apache Dubbo all 2.5.x versions

處置方法:

1)     官方補丁

https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7




上一篇:漏洞通(tōng)告:Windows SMBv3協議(yì)代碼執行漏洞(CVE-2020-0796)

下(xià)一篇:CVE-2020-5902:F5 BIG-IP 遠(yuǎn)程代碼執行漏洞通(tōng)告

在線咨詢

點擊這(zhè)裏給我發消息 售前咨詢專員(yuán)

點擊這(zhè)裏給我發消息 售後服務專員(yuán)

在線咨詢

免費通(tōng)話(huà)

24小時(shí)免費咨詢

請輸入您的(de)聯系電話(huà),座機請加區(qū)号

免費通(tōng)話(huà)

微信掃一掃

微信聯系
返回頂部