Dubbo出现中危漏洞,华为云WAF、网易轻舟称不受影响
发布时间:2020-02-25 06:15:23 所属栏目:资源 来源:站长网
导读:2020年2月13日,Dubbo检查到一条反序列化 漏洞 ,发布公告称改漏洞等级中危,属于严重的漏洞,随后 华为 云WAF、网易轻舟均称可以提高全方位安全服务器,不受此漏洞影响。 Dubbo是 阿里巴巴 开源的 java 开发高性能优秀的轻量级服务框架,主要功能是可通过
2020年2月13日,Dubbo检查到一条反序列化漏洞,发布公告称改漏洞等级中危,属于严重的漏洞,随后华为云WAF、网易轻舟均称可以提高全方位安全服务器,不受此漏洞影响。 Dubbo是阿里巴巴开源的java开发高性能优秀的轻量级服务框架,主要功能是可通过RPC(远程过程调用)实现服务的输出和输入功能。 因为Dubbo支持多种通信协议,官方则是Dubbo协议,而当我们安装Dubbo,除了使用官方提供协议,我们还要开启http协议提供,所以此次漏洞攻击者通过网站http协议通信时,攻击者向我们网站请求POST操作可以执行一个反序列化的操作,数据中可以执行任何编程代码,其中包括恶意代码,一旦我们网站可以执行攻击者需要的代码,攻击者可以读取需要的数据。 根据以上漏洞情况,Dubbo官方也提供解决方案,只需要将Dubbo升级到2.7.5版本即可。 很多网站在开始Dubbo时,很少有关注升级的问题,所以开始使用版本就很稳定使用。其中主要还是发现其中Dubbo有很多依赖包和中间件,贸然升级主要考虑兼容性问题,如果你网站使用客户比较多,可能会影响用户体验。 我们网站在使用第三方框架的时候,更应该要提高自己网站安全性,比如在注册信息要有更多的安全验证,关闭没有使用的通信协议,检测循环调用接口,向外提供接口数据严禁内嵌,透传等。(编辑:衡阳站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |