网站首页 > java教程 正文
6 月 23 日,360 网络安全响应中心(360CERT)发布《CVE-2020-1948:Apache Dubbo 远程代码执行漏洞通告》(以下简称《通告》)。《通告》称,Apache Dubbo 存在远程代码执行漏洞,受影响的版本有 Dubbo 2.5.x、Dubbo 2.6.0 - 2.6.7 和 Dubbo 2.7.0 - 2.7.6。
根据 360CERT 的评定,该漏洞等级为高危,影响面广泛。
Apache Dubbo 官方表示,Apache Dubbo Provider 存在反序列化漏洞。攻击者可以通过 RPC 请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。
据悉, Apache Dubbo 是一款高性能、轻量级的开源 Java RPC 框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
通用修复建议:
建议广大用户及时升级到 2.7.7 或更高版本,下载地址: https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7
关注我并转发此篇文章,私信我“领取资料”,即可免费获得InfoQ价值4999元迷你书!
猜你喜欢
- 2024-12-01 fastjson 发布关于“反序列化远程代码执行漏洞”的安全公告
- 2024-12-01 PHP反序列化知识点总结
- 2024-12-01 漏洞预警|Apache Dubbo 存在反序列化漏洞
- 2024-12-01 PayPal严重漏洞可通过不安全的JAVA反序列化对象
- 2024-12-01 序列化与反序列化——FastJSON、Jackson、Gson性能测试
- 2024-12-01 漏洞预警|Apache MINA SSHD反序列化漏洞
- 2024-12-01 【预警通报】关于WebLogicT3存在反序列化高危漏洞的预警通报
- 2024-12-01 攻防论道 | Apache Shiro反序列化漏洞检测
- 2024-12-01 Fastjson全版本远程代码执行漏洞曝光,降维发布预警
- 2024-12-01 【预警通报】关于ApacheOFBizRMI反序列化远程代码 执行高危漏洞的预警通报
欢迎 你 发表评论:
- 最近发表
- 标签列表
-
- java反编译工具 (77)
- java反射 (57)
- java接口 (61)
- java随机数 (63)
- java7下载 (59)
- java数据结构 (61)
- java 三目运算符 (65)
- java对象转map (63)
- Java继承 (69)
- java字符串替换 (60)
- 快速排序java (59)
- java并发编程 (58)
- java api文档 (60)
- centos安装java (57)
- java调用webservice接口 (61)
- java深拷贝 (61)
- 工厂模式java (59)
- java代理模式 (59)
- java.lang (57)
- java连接mysql数据库 (67)
- java重载 (68)
- java 循环语句 (66)
- java反序列化 (58)
- java时间函数 (60)
- java是值传递还是引用传递 (62)
本文暂时没有评论,来添加一个吧(●'◡'●)