|
6月23號(hào),開源框架Apache Dubbo披露了一項(xiàng)默認(rèn)反序列化遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2020-1948)和相應(yīng)的修復(fù)方案��。該漏洞由騰訊安全玄武實(shí)驗(yàn)室研究員于去年11月首次提交�。 Apache Dubbo擅長(zhǎng)處理分布式和微服務(wù)系統(tǒng)遠(yuǎn)程調(diào)用。據(jù)Apache 官方信息顯示����,包括阿里巴巴、網(wǎng)易云音樂���、去哪兒��、中國(guó)人壽、中國(guó)電信����、當(dāng)當(dāng)網(wǎng)、滴滴出行����、海爾和中國(guó)工商銀行等在內(nèi)的150多家企業(yè)使用該框架進(jìn)行分布式系統(tǒng)和微服務(wù)集群的構(gòu)建。此次漏洞被定義為高危漏洞��,攻擊者可以發(fā)送未經(jīng)驗(yàn)證的服務(wù)名或方法名的RPC請(qǐng)求,同時(shí)配合附加惡意的參數(shù)負(fù)載��。當(dāng)惡意參數(shù)被反序列化時(shí)���,它將執(zhí)行惡意代碼�����。理論上所有使用這個(gè)框架開發(fā)的產(chǎn)品都會(huì)受到影響����,可能會(huì)導(dǎo)致不同程度的業(yè)務(wù)風(fēng)險(xiǎn)�,最嚴(yán)重的可能導(dǎo)致服務(wù)器被攻擊者控制。 目前Apache Dubbo已經(jīng)發(fā)布了2.7.7版本�,并通知開發(fā)者通過升級(jí)新版本來(lái)規(guī)避該漏洞的影響。騰訊安全玄武實(shí)驗(yàn)室建議��,因無(wú)法直接通過與該服務(wù)交互來(lái)判斷Dubbo的版本�,建議用戶通過排查Dubbo所使用的注冊(cè)中心(如zookeeper、 redis�、nacos等)中所標(biāo)示的Dubbo服務(wù)端版本號(hào)來(lái)確定,由此來(lái)做對(duì)應(yīng)的防護(hù)以及修復(fù)處理�。騰訊云防火墻、騰訊T-Sec主機(jī)安全(云鏡)、騰訊T-Sec高級(jí)威脅檢測(cè)系統(tǒng)(御界)也已發(fā)布了檢測(cè)工具�����,幫助開發(fā)者展開安全自查�����。 上個(gè)月�����,騰訊安全玄武實(shí)驗(yàn)室發(fā)現(xiàn)了開源JSON解析庫(kù)Fastjson 存在遠(yuǎn)程代碼執(zhí)行漏洞�,autotype開關(guān)的限制可被繞過,然后鏈?zhǔn)降胤葱蛄谢承┰臼遣荒鼙环葱蛄谢挠邪踩L(fēng)險(xiǎn)的類��。該漏洞被利用可直接獲取服務(wù)器權(quán)限��,被官方定級(jí)為高危安全漏洞���。6月初�,F(xiàn)astjson已經(jīng)發(fā)布了新版本�����,修復(fù)了該漏洞����。 騰訊安全玄武實(shí)驗(yàn)室被行業(yè)稱為“漏洞挖掘機(jī)”,已經(jīng)發(fā)現(xiàn)并協(xié)助國(guó)內(nèi)外知名企業(yè)修復(fù)了上千個(gè)安全問題��,對(duì)外報(bào)告的漏洞中�,僅有CVE編號(hào)的就超過800個(gè),2015年針對(duì)條碼閱讀器的安全研究成果“BadBarcode”���、2016年針對(duì)微軟網(wǎng)絡(luò)協(xié)議的研究成果“BadTunnel”��、2017 年針對(duì)移動(dòng)應(yīng)用的研究成果“應(yīng)用克隆”����、2018年針對(duì)屏下指紋驗(yàn)證技術(shù)的研究成果“殘跡重用”都曾經(jīng)在業(yè)內(nèi)引發(fā)廣泛的關(guān)注�。憑借輸出的漏洞研究報(bào)告,玄武實(shí)驗(yàn)室連續(xù)多年在國(guó)家信息安全漏洞共享平臺(tái)原創(chuàng)積分榜上位居第一���。
|
