CVE-2020-1948 漏洞是否影响2.6.8版本?
摘要:
Severity: Important
Vendor: The Dubbo Project Team
Versions Affected: Dubbo 2.7.0 to 2.7.6 Dubbo 2.6.0 to 2.6.7 Dubbo all 2.5.x versions (not supported by official team any longer)
Description: This vulnerability can affect all Dubbo users stay on version 2.7.6 or lower.
如漏洞描述,2.6.8不在受影响的范围内。但又说低于2.7.6都受影响,建议升级到2.7.7解决漏洞。 需要确认2.6.8是否受该漏洞影响,是否需要升级到2.7.7?
原提问者GitHub用户kentwang94
写回答
-
引用漏洞发现者的话(http://rui0.cn/archives/1338): “这里需要注意一下,因为最近的Dubbo反序列化漏洞公布了。所以需要补充一下,因为主题的关系文章中只提到了Dubbo的toString触发点,但是Dubbo实际上在刚传入序列化值时也有一个触发点,漏洞公布的邮件里并没有涉及全部的细节以及poc,所以一些版本如果在代码层面只去掉输出arguments处理,仍然还有其他触发位置可能存在风险。
建议各位开发者尽量采取升级措施,或在代码层面去掉arguments的输出同时对Hessian进行加固。“
根本问题在Hessian协议上,not found只是一个触发点,在目前的版本中,还存在一个已知触发点没有公布,大概率有更多的触发点。因此建议维持最新版,或参考https://xz.aliyun.com/t/7238,对Hessian进行加固,并保持SPI加入的黑名单最新。
最省心的方法是将RPC协议换为protobuf(官方文档里有方法),不需要关注太多安全方面的知识,但需要学习成本和服务运行成本。长远来看很值得。
原回答者GitHub用户Ph0rse
2023-05-12 12:11:31赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
阿里云拥有国内全面的云原生产品技术以及大规模的云原生应用实践,通过全面容器化、核心技术互联网化、应用 Serverless 化三大范式,助力制造业企业高效上云,实现系统稳定、应用敏捷智能。拥抱云原生,让创新无处不在。
