通知动态
【漏洞通告】关于Apache Dubbo服务存在反序列化漏洞 的风险提示
作者:王文盛 审核人: 时间:2022年10月25日 10:46

接陕西省委网信办通报,Apache Dubbo服务存在反序列化漏洞,攻击者可以通过构造特定请求在服务器上执行恶意代码。鉴于此漏洞影响较大,建议各单位及时排查本单位所属关键信息基础设施与重要信息系统受影响情况,做好资产自检和预防工作,以免遭受攻击。

一、漏洞影响范围

Apache Dubbo hessian-lite <=3.2.12

Apache Dubbo 2.7.x <=2.7.17

Apache Dubbo 3.0.x <=3.0.11

Apache Dubbo 3.1.x <=3.1.0

二、解决方案

目前Apache已发布修复了此漏洞的更新版本。如受影响,可通过下载官方的版本更新修复漏洞

下载地址:https://github.com/apache/dubbo/tags

如无法完成升级,可以使用白名单限制20880端口(默认端口)的访问等措施来降低安全风险。

推荐阅读
查看更多
    读取内容中,请等待...