欢迎user
Apache Dubbo是一款阿里巴巴开源的高性能 RPC 分布式服务框架(SOA),具有RPC通信与微服务治理两大关键能力,其中Java、Golang 版本的Dubbo是当前稳定性、活跃度最好的版本,其他多语言客户端正在持续建设中。采用 Dubbo 的企业涵盖互联网、传统IT、金融、生产制造业多个领域,一些典型用户包括阿里巴巴、携程、工商银行、中国人寿、海尔、金蝶等。近日,新华三攻防实验室威胁预警团队监测到Apache Dubbo官方发布了安全更新公告,修复了Apache Dubbo中的一个反序列化漏洞(CVE-2022-39198),新华三攻防实验室建议用户更新Apache Dubbo到最新的安全版本避免遭受攻击。
该漏洞是由于Dubbo Hessian-Lite 3.2.12及之前版本中存在反序列化漏洞,恶意攻击者成功利用此漏洞可在目标服务器上执行任意代码。
Apache Dubbo 2.7.x 版本:<= 2.7.17
Apache Dubbo 3.0.x 版本:<= 3.0.11
Apache Dubbo 3.1.x 版本:<= 3.1.0
中危
目前官方已发布漏洞修复补丁,请受影响的用户及时升级Dubbo hessian-lite版本 >=3.2.13;或者更新Apace Dubbo到最新安全版本。
Apache Dubbo下载链接: https://github.com/apache/dubbo/tags
Dubbo hessian-lite下载链接: https://github.com/apache/dubbo-hessian-lite/releases
https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk
https://github.com/apache/dubbo
https://github.com/apache/dubbo-hessian-lite