點擊上方“朱小廝的博客”，選擇“設為星標”

后臺回復”加群“獲取公眾號專屬群聊入口

來源：rrd.me/ganFt

2020年2月13日，華為云安全團隊監測到應用廣泛的Apache Dubbo出現一個較為嚴重的漏洞：反序列化漏洞（漏洞編號：CVE-2019-17564）。攻擊者利用該漏洞，可在目標網站上遠程執行惡意代碼，最終導致網站被控制、數據泄露等。目前，華為云Web應用防火墻（Web Application Firewall，WAF）提供了對該漏洞的防護。

一、漏洞原理

Apache Dubbo是一款應用廣泛的高性能輕量級的Java 遠程調用分布式服務框架，支持多種通信協議。當網站安裝了Apache Dubbo并且啟用http協議進行通信時，攻擊者可以向網站發送POST請求，在請求里可以執行一個反序列化的操作，由于沒有任何安全校驗，這個反序列化過程可以執行任意代碼。這里，序列化是指把某個編程對象轉換為字節序列的過程，而反序列化是指把字節序列恢復為某個編程對象的過程。

二、影響的版本范圍

漏洞影響的Apache Dubbo產品版本包括：2.7.0~2.7.4、2.6.0~2.6.7、2.5.x 的所有版本。

三、防護方案

1、Apache Dubbo官方建議用戶網站升級到安全的2.7.5版本。下載地址如下：

https://github.com/apache/dubbo/tree/dubbo-2.7.5。

2、如無法快速升級版本，或希望防護更多其他漏洞，可使用華為云WAF內置的防護規則對該漏洞進行防護，步驟如下：

1) 購買WAF。

2) 將網站域名添加到WAF中并完成域名接入。

3) 將Web基礎防護的狀態設置為“攔截”模式。

四、寫在最后

你們公司用的是Dubbo還是SpringCloud？如果用的是Dubbo，又是哪個大版本呢（或者基于哪個大版本深度定制）？

想知道更多？掃描下面的二維碼關注我

【精彩推薦】

• 你知道為什么Java的main方法必須是public static void？

• 一文講透微服務下如何保證事務的一致性

• 如何理解Linux中的零拷貝技術

• 干貨！Java字節碼增強探秘
  

朕已閱?

總結

以上是生活随笔為你收集整理的Dubbo爆出严重漏洞！可导致网站被控制、数据泄露！附解决方案的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。