Dubbo 反序列化马脚,可招致长途代码履行

oschina
 oschina
发布于 2020年06月26日
收藏 7

精选30+云产品,助力企业轻松上云!>>>

近日 Dubbo 官方申报了一个 Dubbo 长途代码履行成绩(CVE-2020-1948),该成绩由 Provider 反序列化马脚惹起。根据简介,进击者可以应用没法识其他办事称号或办法称号,并带上一些恶意参数有效载荷发送 RPC 请求。当恶意参数反序列化后,将履行一些恶意代码。

受影响的版本:

  • 2.7.0 <= Dubbo Version <= 2.7.6
  • 2.6.0 <= Dubbo Version <= 2.6.7
  • 一切 2.5.x 版本(官方团队不再支撑)

一切 Dubbo 版本都可以升级到 2.7.7 或更高版本,防止该马脚:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

概略检查邮件列表

本站文章除注明转载外,均为本站原创或编译。迎接任何情势的转载,但请务必注明出处,尊敬他人休息共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.aledoyoga.com]
本文标题:Dubbo 反序列化马脚,可招致长途代码履行
加载中
此消息有 15 条评论,请先登录后再检查。
前往顶部
顶部