一、概要

近日，華為云關(guān)注到Apache Dubbo存在反序列化漏洞（CVE-2019-17564）。Apache Dubbo是一款應(yīng)用廣泛的高性能輕量級(jí)的Java RPC分布式服務(wù)框架，當(dāng)Apache Dubbo啟用HTTP協(xié)議之后，在接受來(lái)自用戶遠(yuǎn)程調(diào)用請(qǐng)求時(shí)存在一個(gè)不安全的反序列化行為，最終可導(dǎo)致遠(yuǎn)程任意代碼執(zhí)行。

華為云提醒使用Apache Dubbo的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://www.mail-archive.com/dev@dubbo.apache.org/msg06226.html

二、威脅級(jí)別

威脅級(jí)別：【重要】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

2.7.0 <= Apache Dubbo <= 2.7.4

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo = 2.5.x

四、漏洞處置

1、升級(jí)版本：目前官方已在最新版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶升級(jí)至安全版本。

2、臨時(shí)規(guī)避措施：通過禁用Dubbo中的HTTP協(xié)議對(duì)漏洞進(jìn)行臨時(shí)規(guī)避。目前，華為云WAF已具備對(duì)該漏洞攻擊的防御能力，華為云WAF用戶將Web基礎(chǔ)防護(hù)的狀態(tài)設(shè)置為“攔截”模式即可，具體方法請(qǐng)參見 配置Web基礎(chǔ)防護(hù)規(guī)則。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。