一、概要

近日華為云監(jiān)測到Apache Dubbo披露了Provider的一個反序列化遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-1948），攻擊者可發(fā)送特殊構(gòu)造帶有惡意參數(shù)負(fù)載的RPC請求，當(dāng)惡意參數(shù)被反序列化時，將導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

6月29日，華為云監(jiān)測到Apache Dubbo GitHub上存在一個Pull requests，稱其修復(fù)了Apache Dubbo Provider反序列化遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-1948）補(bǔ)丁繞過，目前Apache Dubbo 2.7.7仍受該反序列化漏洞影響，官方暫未發(fā)布最新版本修復(fù)該漏洞，風(fēng)險仍然存在。

 華為云提醒使用Apache Dubbo的用戶及時安排自檢并做好安全加固。

詳情請參考鏈接：

https://github.com/apache/dubbo/pull/6374

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Apache Dubbo <= 2.7.7

四、漏洞處置

目前，官方暫未發(fā)布安全版本修復(fù)該漏洞，請受影響的用戶參考以下方法進(jìn)行風(fēng)險臨時規(guī)避，并留意官方新版本的發(fā)布。

規(guī)避措施：

1、將受影響的Dubbo升級到Dubbo 2.7.7，然后參考如下鏈接對DecodeableRpcInvocation增加入?yún)㈩愋托ｒ?/span>

https://github.com/apache/dubbo/pull/6374/commits/8fcdca112744d2cb98b349225a4aab365af563de

2、禁止將Dubbo服務(wù)端端口對公網(wǎng)開放，或僅對可信IP開放。

受影響用戶留意官方新版本發(fā)布，以便在新版本發(fā)布后及時升級到安全版本

Apache Dubbo 版本發(fā)布地址：https://github.com/apache/dubbo/releases

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。