Dubbo爆出嚴重漏洞！可致使網站被控制、數據泄露！附解決方案

http://dy.163.com/v2/article/detail/F5FPIFRU0511Q1AF.html

　　

　　來源：華爲雲

　　原文地址：https://www.toutiao.com/a6793181470287462916/

　　2020年2月13日，華爲雲安全團隊監測到應用普遍的Apache Dubbo出現一個較爲嚴重的漏洞：反序列化漏洞（漏洞編號：CVE-2019-17564）。攻擊者利用該漏洞，可在目標網站上遠程執行惡意代碼，最終致使網站被控制、數據泄露等。目前，華爲雲Web應用防火牆（Web Application Firewall，WAF）提供了對該漏洞的防禦。

　　1、漏洞原理

　　Apache Dubbo是一款應用普遍的高性能輕量級的Java 遠程調用分佈式服務框架，支持多種通訊協議。當網站安裝了Apache Dubbo而且啓用http協議進行通訊時，攻擊者能夠向網站發送POST請求，在請求裏能夠執行一個反序列化的操做，因爲沒有任何安全校驗，這個反序列化過程能夠執行任意代碼。這裏，序列化是指把某個編程對象轉換爲字節序列的過程，而反序列化是指把字節序列恢復爲某個編程對象的過程。

　　2、影響的版本範圍

　　漏洞影響的Apache Dubbo產品版本包括：2.7.0~2.7.四、2.6.0~2.6.七、2.5.x 的全部版本。

　　3、防禦方案

　　一、Apache Dubbo官方建議用戶網站升級到安全的2.7.5版本。下載地址以下：

　　https://github.com/apache/dubbo/tree/dubbo-2.7.5。

　　二、如沒法快速升級版本，或但願防禦更多其餘漏洞，可以使用華爲雲WAF內置的防禦規則對該漏洞進行防禦，步驟以下：

　　1) 購買WAF。

　　2) 將網站域名添加到WAF中並完成域名接入。

　　3) 將Web基礎防禦的狀態設置爲「攔截」模式。

　　4、寫在最後

　　大家公司用的是Dubbo仍是SpringCloud？若是用的是Dubbo，又是哪一個大版本呢（或者基於哪一個大版本深度定製）？

　　———— e n d ————

　　金三銀四，師長爲你們準備了三份面試寶典：

　　《java面試寶典5.0》

　　《350道Java面試題：整理自100+公司》

　　《資深java面試寶典-視頻版》

　　分別適用於初中級，中高級，以及資深級工程師的面試複習。

　　內容包含java基礎、javaweb、各個性能優化、JVM、鎖、高併發、反射、Spring原理、微服務、Zookeeper、數據庫、數據結構、限流熔斷降級等等。

　　獲取方式：點「在看」，V信關注師長的小號：編程最前線並回復面試領取，更多精彩陸續奉上。