【安全通告】Apache Dubbo默认反序列化协议Hessian2导致远程代码执行漏洞风险通告(CVE-2020-11995)
摘要:
尊敬的腾讯云用户,您好!
近日,腾讯云安全运营中心监测到,Apache Dubbo默认反序列化协议Hessian2被爆存在远程代码执行漏洞(漏洞编号:CVE-2020-11995),漏洞被利用可导致远程代码执行。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Apache Dubbo默认使用Hessian2作为序列化/反序列化工具,当使用Hessian2反序列化HashMap对象时,一些存储在HasMap中的函数将在一系列程序调用后执行,但这可能会导致远程命令执行,利用该漏洞攻击者可以通过构建一个恶意请求来达到远程代码执行的目的。
风险等级
中风险
漏洞风险
攻击者可利用漏洞构建一个恶意请求,从而达到远程代码执行的目的。
影响版本
Apache Dubbo 2.7.0 ~ 2.7.7
Apache Dubbo 2.6.0 ~ 2.6.8
Apache Dubbo 所有 2.5.x 版本 (官方已不再提供支持)
安全版本
Apache Dubbo 2.7.8
Apache Dubbo 3.2.92
修复建议
1)官方已发布漏洞修复版本,检查您的Apache Dubbo是否在受影响版本范围
2)如受影响,请你选择合理时间进行升级操作,升级到修复版本,避免影响业务。
腾讯主机安全(云镜)已支持该漏洞检测
漏洞参考