一、概要

近日華為云監(jiān)測到Apache Dubbo發(fā)布安全公告，披露其默認(rèn)的反序列化協(xié)議 Hessian2存在遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2020-11995）。在Hessian2對HashMap對象進(jìn)行反序列化期間，存儲在類HasMap中的某些函數(shù)將在一系列程序調(diào)用后被執(zhí)行，攻擊者可利用此漏洞觸發(fā)遠(yuǎn)程代碼執(zhí)行。

華為云提醒使用Apache Dubbo的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://www.mail-archive.com/dev@dubbo.apache.org/msg06676.html

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Apache Dubbo 2.7.0 ~ 2.7.7

Apache Dubbo 2.6.0 ~ 2.6.8

Apache Dubbo 所有 2.5.x 版本 (官方已不再提供支持)

安全版本：

Apache Dubbo 2.7.8

Apache Dubbo 2.6.9

四、漏洞處置

目前，官方已發(fā)布新版本修復(fù)了該漏洞，請受影響的用戶升級到安全版本：

Apache Dubbo 2.7.8下載地址：https://github.com/apache/dubbo/releases/tag/dubbo-2.7.8

Apache Dubbo 2.6.9下載地址：https://github.com/apache/dubbo/releases/tag/dubbo-2.6.9

臨時(shí)規(guī)避措施：

無法及時(shí)升級的用戶，可參考官方提供的臨時(shí)方案在Hessian2 3.2.9中設(shè)置支持白名單來降低安全風(fēng)險(xiǎn)。

參考鏈接：https://github.com/apache/dubbo-hessian-lite/releases/tag/v3.2.9

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。