融创开启“在线办公”模式 华为云WeLink提供技术支撑 | Apache Dubbo出现严重漏洞,华为云WAF可提供防护 | 在家做饭另类浪漫,家乐福冷冻牛上脑销量猛增2267% | 驴迹科技中标签约神木市智慧导览系统项目 | 餐饮行业暂停堂食服务食材囤积 腾讯直播“救”了这家餐厅 | 疫情期间的情人节怎么过?小天鹅为情侣们支招 | 情人节在家一样甜蜜过 来华为视频甜蜜剧综看个够 | ​疫情动态实时显示,国广健康推出线上解疑公益问诊 | 95后北漂青年自述:为做顿大餐,我在刷宝看了3个月视频 | 中国第一代网络安全厂商奇安信亮相世界级安全大会RSA2020 |
 
当前位置: 新闻>滚动>

Apache Dubbo出现严重漏洞,华为云WAF可提供防护

发布时间:2020-02-14 16:57:15  |  来源:北国网  |  作者:   |  责任编辑:科学频道

2020年2月13日,华为云安全团队监测到应用广泛的Apache Dubbo出现一个较为严重的漏洞:反序列化漏洞(漏洞编号:CVE-2019-17564)。攻击者利用该漏洞,可在目标网站上远程执行恶意代码,最终导致网站被控制、数据泄露等。目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。

一、漏洞原理

Apache Dubbo是一款应用广泛的高性能轻量级的Java远程调用分布式服务框架,支持多种通信协议。当网站安装了Apache Dubbo并且启用http协议进行通信时,攻击者可以向网站发送POST请求,在请求里可以执行一个反序列化的操作,由于没有任何安全校验,这个反序列化过程可以执行任意代码。这里,序列化是指把某个编程对象转换为字节序列的过程,而反序列化是指把字节序列恢复为某个编程对象的过程。

二、影响的版本范围

漏洞影响的Apache Dubbo产品版本包括: 2.7.0~2.7.4、2.6.0~2.6.7、2.5.x的所有版本。

三、防护方案

1、Apache Dubbo官方建议用户网站升级到安全的2.7.5版本。

2、如无法快速升级版本,或希望防护更多其他漏洞,可使用华为云WAF内置的防护规则对该漏洞进行防护,步骤如下:

购买WAF。

将网站域名添加到WAF中并完成域名接入。

将Web基础防护的状态设置为“拦截”模式。