了(le)解最新網絡安全動态及行業資訊
危險等級:高(gāo)
Dubbo協議(yì)實現了(le)一種遠(yuǎn)程方法調用(yòng)的(de)框架,在傳參的(de)過程中,會涉及到數據的(de)序列化(huà)和(hé)反序列化(huà)操作。如果不做(zuò)嚴格校驗,在反序列化(huà)構建參數對(duì)象時(shí),有可(kě)能會用(yòng)到JNDI接口功能,而使服務端去加載遠(yuǎn)程的(de)Class文件,通(tōng)過在Class文件的(de)構造函數或者靜态代碼塊中插入惡意語句從而達到遠(yuǎn)程代碼執行的(de)攻擊效果。
Apache Dubbo 2.7.0 to 2.7.6
Apache Dubbo 2.6.0 to 2.6.7
Apache Dubbo all 2.5.x versions
1) 官方補丁
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7
24小時(shí)免費咨詢
請輸入您的(de)聯系電話(huà),座機請加區(qū)号