關於Apache Dubbo服務存在反序列化漏洞 的風險提示
作者:王文盛 審核人:侯小軍 時間:2022年10月25日 10:46
接陝西省委網信辦通報,Apache Dubbo服務存在反序列化漏洞,攻擊者可以通過構造特定請求在服務器上執行惡意代碼。鑒於此漏洞影響較大,建議各單位及時排查本單位所屬關鍵信息基礎設施與重要信息係統受影響情況,做好資產自檢和預防工作,以免遭受攻擊。
一、漏洞影響範圍
Apache Dubbo hessian-lite <=3.2.12
Apache Dubbo 2.7.x <=2.7.17
Apache Dubbo 3.0.x <=3.0.11
Apache Dubbo 3.1.x <=3.1.0
二、解決方案
目前Apache已發布修複了此漏洞的更新版本。如受影響,可通過下載官方的版本更新修複漏洞
下載地址:https://github.com/apache/dubbo/tags
如無法完成升級,可以使用白名單限製20880端口(默認端口)的訪問等措施來降低安全風險。
推薦閱讀
查看更多
-
讀取內容中,請等待...
