| 【漏洞预警】Apache Dubbo反序列化远程代码执行漏洞(CVE-2023-23638)风险提示 |
|
|
【漏洞公告】 近日,Apache Dubbo官方发布安全更新,修复了一处Apache Dubbo反序列化远程代码执行漏洞(CVE-2023-23638)。该漏洞是由于Dubbo在序列化时检查不够全面,允许对Dubbo具有访问权限的攻击者,通过构造恶意请求绕过检查触发反序列化,从而执行恶意代码。目前官方发布安全版本,建议受影响的用户尽快采取安全措施。 相关链接: https://lists.apache.org/thread/8h6zscfzj482z512d2v5ft63hdhzm0cb
【影响范围】 漏洞影响版本: Apache Dubbo 3.1.x <= 3.1.5 Apache Dubbo 3.1.x <= 3.1.5 Apache Dubbo 2.7.x <= 2.7.21 安全版本: Apache Dubbo 3.1.6 Apache Dubbo 3.0.14 Apache Dubbo 2.7.22
【漏洞描述】 Apache Dubbo是一款易用、高性能的WEB和RPC框架,同时为构建企业级微服务提供服务发现、流量治理、可观测、认证鉴权等能力、工具与最佳实践。Apache Dubbo反序列化远程代码执行漏洞(CVE-2023-23638):该漏洞是由于Dubbo在序列化时检查不够全面,允许对Dubbo具有访问权限的攻击者,通过构造恶意请求绕过检查触发反序列化,从而执行恶意代码。
【缓解措施】 高危:目前漏洞细节和测试代码虽暂未公开,但恶意攻击者可以通过对比补丁分析出漏洞触发点,建议受影响用户及时升级到安全版本。 处置措施: 1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。 下载地址:https://github.com/apache/dubbo/releases
|
||||||||
 |
|
Copyright © 2014 East China University Science and Technology. All rights reserved 版权所有 © 2014 华东理工大学信息化办公室 |