首页 华为云动态正文

Dubbo出现严重漏洞!华为云WAF可提供防护

云返利网 华为云动态 2020-08-22 06:33:43 16 0 华为云服务

点击上方蓝色字体,完成关注仪式


查看原文:https://www.toutiao.com/a6793181470287462916/

2020年2月13日,华为云安全团队监测到应用广泛的Apache Dubbo出现一个较为严重的漏洞:反序列化漏洞(漏洞编号:CVE-2019-17564)。攻击者利用该漏洞,可在目标网站上远程执行恶意代码,最终导致网站被控制、数据泄露等。目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。

一、漏洞原理

Apache Dubbo是一款应用广泛的高性能轻量级的Java 远程调用分布式服务框架,支持多种通信协议。当网站安装了Apache Dubbo并且启用http协议进行通信时,攻击者可以向网站发送POST请求,在请求里可以执行一个反序列化的操作,由于没有任何安全校验,这个反序列化过程可以执行任意代码。这里,序列化是指把某个编程对象转换为字节序列的过程,而反序列化是指把字节序列恢复为某个编程对象的过程。


二、影响的版本范围

漏洞影响的Apache Dubbo产品版本包括:2.7.0~2.7.4、2.6.0~2.6.7、2.5.x 的所有版本。

三、防护方案

1、Apache Dubbo官方建议用户网站升级到安全的2.7.5版本。下载地址如下:

2、如无法快速升级版本,或希望防护更多其他漏洞,可使用华为云WAF内置的防护规则对该漏洞进行防护,步骤如下:

1) 购买WAF。

2) 将网站域名添加到WAF中并完成域名接入。

3) 将Web基础防护的状态设置为“拦截”模式。



你点的每个赞,我都认真当成了喜欢


本文分享自微信公众号 - 一万小时极客(coding-Hub)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“”,欢迎正在阅读的你也加入,一起分享。

【关于云返利网】

云返利网是阿里云、腾讯云、华为云产品推广返利平台,在各个品牌云产品官网优惠活动之外,云返利网还提供返利。您可以无门槛获得阿里云、华为云、腾讯云所有产品返利,在官网下单后就可以领取,无论是自己用、公司用还是帮客户采购,您个人都可以获得返利。云返利网的目标是让返利更多、更快、更简单!详情咨询13121395187(微信同号)