雲栖号資訊:【 點選檢視更多行業資訊】
在這裡您可以找到不同行業的第一手的上雲資訊,還在等什麼,快來!
6 月 23 日,360 網絡安全響應中心(360CERT)釋出《CVE-2020-1948:Apache Dubbo 遠端代碼執行漏洞通告》(以下簡稱《通告》)。《通告》稱,Apache Dubbo 存在遠端代碼執行漏洞,受影響的版本有 Dubbo 2.5.x、Dubbo 2.6.0 - 2.6.7 和 Dubbo 2.7.0 - 2.7.6。
根據 360CERT 的評定,該漏洞等級為高危,影響面廣泛。
Apache Dubbo 官方表示,Apache Dubbo Provider 存在反序列化漏洞。攻擊者可以通過 RPC 請求發送無法識别的服務名稱或方法名稱以及一些惡意參數有效載荷,當惡意參數被反序列化時,可以造成遠端代碼執行。
據悉, Apache Dubbo 是一款高性能、輕量級的開源 Java RPC 架構,它提供了三大核心能力:面向接口的遠端方法調用,智能容錯和負載均衡,以及服務自動注冊和發現。
通用修複建議:
建議廣大使用者及時更新到 2.7.7 或更高版本,下載下傳位址:
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7【雲栖号線上課堂】每天都有産品技術專家分享!
課程位址:
https://yqh.aliyun.com/zhibo立即加入社群,與專家面對面,及時了解課程最新動态!
【雲栖号線上課堂 社群】
https://c.tb.cn/F3.Z8gvnK
原文釋出時間:2020-06-24
本文作者:萬佳
本文來自:“
InfoQ”,了解相關資訊可以關注“[InfoQ](
https://www.infoq.cn/article/eQk1D58fSY43NRoa0lAj)
![Java String.format方法的簡單使用[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)