Apache Dubbo反序列化误差危害通告

宣布时间 2020-02-12

误差编号和级别


CVE编号:CVE-2019-17564,,,,,,,,危险级别:高危,,,,,,,,CVSS分值:官方未评定


影响版本


2.7.0 <= Apache Dubbo <= 2.7.4

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo = 2.5.x


误差概述


Apache Dubbo是一个漫衍式框架,,,,,,,,致力于提供高性能透明化的RPC远程效劳挪用计划,,,,,,,,以及SOA效劳治理计划。。。。。。。Apache Dubbo在现实应用场景中主要认真解决漫衍式的相关需求。。。。。。。


Apache Dubbo保存反序列化误差,,,,,,,,Apache Dubbo支持多种协议,,,,,,,,官方推荐使用 Dubbo 协议,,,,,,,,此误差是属于Apache Dubbo HTTP协议中的一个反序列化误差,,,,,,,,主要缘故原由在于当Apache Dubbo启用HTTP协议之后,,,,,,,,Apache Dubbo在接受来自消耗者的远程挪用请求的时间保存一个不清静的反序列化行为,,,,,,,,最终导致了远程恣意代码执行。。。。。。。


误差验证


暂无POC/EXP。。。。。。。


修复建议


现在厂商已宣布新版本修复误差,,,,,,,,请尽快装置和应用更新:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5。。。。。。。


参考链接


https://www.mail-archive.com/dev@dubbo.apache.org/msg06225.html