原标题:腾讯安全玄武实验室提交Apache Dubbo高危漏洞,官方已发布修复版本

6月23号,开源框架Apache Dubbo披露了一项默认反序列化远程代码执行漏洞(CVE-2020-1948)和相应的修复方案。该漏洞由腾讯安全玄武实验室研究员于去年11月首次提交。

Apache Dubbo擅长处理分布式和微服务系统远程调用。据Apache 官方信息显示,150多家企业使用该框架进行分布式系统和微服务集群的构建。此次漏洞被定义为高危漏洞,攻击者可以发送未经验证的服务名或方法名的RPC请求,同时配合附加恶意的参数负载。当恶意参数被反序列化时,它将执行恶意代码。理论上所有使用这个框架开发的产品都会受到影响,可能会导致不同程度的业务风险,最严重的可能导致服务器被攻击者控制。

目前Apache Dubbo已经发布了2.7.7版本,并通知开发者通过升级新版本来规避该漏洞的影响。腾讯安全玄武实验室建议,因无法直接通过与该服务交互来判断Dubbo的版本,建议用户通过排查Dubbo所使用的注册中心(如zookeeper、 redis、nacos等)中所标示的Dubbo服务端版本号来确定,由此来做对应的防护以及修复处理。腾讯云防火墙、腾讯T-Sec主机安全(云镜)、腾讯T-Sec高级威胁检测系统(御界)也已发布了检测工具,帮助开发者展开安全自查。

上个月,腾讯安全玄武实验室发现了开源JSON解析库Fastjson 存在远程代码执行漏洞,autotype开关的限制可被绕过,然后链式地反序列化某些原本是不能被反序列化的有安全风险的类。该漏洞被利用可直接获取服务器权限,被官方定级为高危安全漏洞。6月初,Fastjson已经发布了新版本,修复了该漏洞。

腾讯安全玄武实验室被行业称为“漏洞挖掘机”,已经发现并协助国内外知名企业修复了上千个安全问题,对外报告的漏洞中,仅有CVE编号的就超过800个,2015年针对条码阅读器的安全研究成果“BadBarcode”、2016年针对微软网络协议的研究成果“BadTunnel”、2017 年针对移动应用的研究成果“应用克隆”、2018年针对屏下指纹验证技术的研究成果“残迹重用”都曾经在业内引发广泛的关注。凭借输出的漏洞研究报告,玄武实验室连续多年在国家信息安全漏洞共享平台原创积分榜上位居第一。返回搜狐,查看更多

责任编辑:

腾讯服务器漏洞修复,腾讯安全玄武实验室提交Apache Dubbo高危漏洞,官方已发布修复版本...相关推荐

  1. Apache Dubbo 高危漏洞通告

    前沿技术早知道,弯道超车有希望 积累超车资本,从关注DD开始 作者:360CERT, 图文编辑:xj 来源:https://www.oschina.net/news/178522 报告编号:B6-20 ...

  2. 【漏洞通告】微软5月安全更新多个产品高危漏洞通告

    [漏洞通告]微软5月安全更新多个产品高危漏洞通告 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)

  3. 关于腾讯玄武实验室公布的应用克隆漏洞的一些思考

    2018-01-09 国家信息安全漏洞共享平台 公布了 <关于Android平台WebView控件存在跨域访问高危漏洞的安全公告> 另外,关于该漏洞的原理 这里 有个补充说明: 从上文中我 ...

  4. 我的世界java一键修复_我的世界JAVA 1.14.2最新预览版发布 修复光源BUG

    原标题:我的世界JAVA 1.14.2最新预览版发布 修复光源BUG Minecraft 1.14.2 Pre-Release 3正式发布 更改内容: 修复几个BUG 现在加载存档时若遇到错误会向日志 ...

  5. Dubbo 高危漏洞!原来都是反序列化惹得祸

    前言 这周收到外部合作同事推送的一篇文章,[漏洞通告]Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)通告. 按照文章披露的漏洞影响范围,可以说是当 ...

  6. 黑哥点评|关于 Apache Log4j2 高危漏洞的思考与建议

    2021年12月8日,知道创宇404积极防御实验室通过创宇安全智脑监测到Apache Log4j2远程代码执行高危漏洞(CVE-2021-44228)被攻击者利用,且该漏洞细节已经被公开扩散. 经专家 ...

  7. 服务器高危漏洞需要修复吗,Win10被曝新的HTTP协议高危漏洞:需安装KB5003173可彻底修复...

    Win10又出现安全漏洞了,昨天安全研究人员在推特上公布Windows 10安全漏洞概念验证,此漏洞位于HTTP协议可远程触发.漏洞在被公布前已经通报给微软进行修复,微软在本月发布的累积更新中修复漏洞 ...

  8. qq撤回的信息腾讯服务器有吗,腾讯官方:撤回消息为何提示对方?丨QQ新增自定义撤回消息~...

    原标题:腾讯官方:撤回消息为何提示对方?丨QQ新增自定义撤回消息~ 网友"十大未解之谜"之一---撤回消息为什么还要提示对方?近日,腾讯官方终于给出了一个官方解释. 腾讯表示,在平 ...

  9. 腾讯服务器维护公告,腾讯内容开放平台

    ★教你快速查阅推送 亲爱的玩家朋友: 为保证服务器的运行稳定和服务质量,<梦幻西游>所有服务器将于2021年08月03日上午8:00停机,进行每周例行的维护工作.预计维护时间为上午8:00 ...

最新文章

  1. MySQL基础篇:数据定义语言DDL
  2. python猜数游戏流程_python简单猜数游戏实例
  3. 10分钟写一个markdown编辑器
  4. 工程化专题之Maven(下)
  5. javascript 中this 的用法:
  6. PHP 使用程序进行数据库字典文件生成 导出数据库字典
  7. KOL:Key Opinion Leader
  8. ArrayList clone()– ArrayList深拷贝和浅拷贝
  9. c# 低功耗蓝牙_c# - 如何使用C#手动绑定到WinForm中的蓝牙低能耗设备? - 堆栈内存溢出...
  10. EasyRecovery,重新找寻丢失的文件
  11. Spring Aop技术原理分析
  12. Android项目中JNI技术生成并调用.so动态库实现详解
  13. PHP snmpwalkoid和snmpwalk的区别,snmpwalkoid返回对象 id 及它们各自的值,snmpwalk仅返回值
  14. 什么是ISO9000质量管理体系认证以及认证流程
  15. 跨境电商四种物流方式介绍-扬帆凌远
  16. 谈一谈机器学习的基本原理
  17. 【流媒体开发】【数据与封装格式】20、AAC码流格式与解析
  18. Ubuntu18中添加中文输入法
  19. python pip本身的安装路径
  20. linux解压该文件,linux上解压缩文件

热门文章

  1. 简单的GridView分业,后台不需要写
  2. 2022年全球与中国前开口统一吊舱(FOUP)行业发展趋势及投资战略分析报告
  3. linux入门常用知识点part1(干货系列小郭学习Linux的第一天)
  4. JeecgBoot【iconfont】iCon图标扩展方法【亲测实践】
  5. Python爬虫学习(简单的模拟登陆(一))
  6. ISCC-2022-reverse-mobile-部分wp
  7. 【习题3】用Python完成购物车简单操作
  8. 如何解决LTPS Mura不良
  9. 城市智能搜索引擎软件
  10. 找工作如何避免培训机构骗局