文档首页 > > 最佳实践> Web漏洞防护最佳实践> Apache Dubbo反序列化漏洞

Apache Dubbo反序列化漏洞

分享
更新时间:2020/02/14 GMT+08:00

2020年2月13日,华为云安全团队监测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,漏洞等级中危。当用户选择http协议进行通信时,攻击者可以通过发送POST请求的时候来执行一个反序列化的操作,由于没有任何安全校验,该漏洞可以造成反序列化执行任意代码。目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。

影响的版本范围

漏洞影响的Apache Dubbo产品版本包括: 2.7.0~2.7.4、2.6.0~2.6.7、2.5.x的所有版本。

安全版本

Apache Dubbo 2.7.5版本(https://github.com/apache/dubbo/tree/dubbo-2.7.5)。

解决方案

建议您将Apache Dubbo升级到2.7.5版本。

如果您无法快速升级版本,或者希望防护更多其他漏洞,可以使用华为云Web应用防火墙对该漏洞进行防护,请参照以下步骤进行防护:

  1. 购买WAF
  2. 将网站域名添加到WAF中并完成域名接入,详细操作请参见添加防护域名
  3. 将Web基础防护的状态设置为“拦截”模式,详细操作请参见配置Web基础防护规则
分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!非常感谢您的反馈,我们会继续努力做到更好!
反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

智能客服提问云社区提问