安全预警

关于Apache Dubbo服务存在反序列化漏洞的预警通报

  • 发布时间:2022-11-17
  • 来源:
  • 点击:

一、漏洞详情

Apache Dubbo是一款高性能、轻量级的开源服务框架,提供了RPC通信与微服务处理两大关键能力。其组件Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,攻击者可利用该漏洞在目标系统未授权的情况下,构造恶意数据执行代码,远程执行攻击,最终可获取服务器最高权限。

二、受影响版本

Apache Dubbo hessian-lite <=3.2.1

Apache Dubbo 2.7.x <=2.7.17

Apache Dubbo 3.0.x <=3.0.11

Apache Dubbo 3.1.x <=3.1.0

三、修复方式

目前,Apache已发布修复了此漏洞的更新版本。如受影响,可通过下载官方的版本更新修复漏洞,Apache Dubbo下载地址是https://github.com/apache/dubbo/tags,Dubbo hessian-lite下载地址是https://github.com/apache/dubbo-hessian-lite/releases

请各单位高度重视,及时排查梳理受影响情况,在确保安全的前提下修复漏洞、消除隐患。同时,加强安全监测,做好应急处置准备,发现突出情况要迅速处置并第一时间报告。

下一条:关于Windows版Chrome高危零日漏洞的预警通报