你好,我是yes。
前不久 Log4j2 的漏洞不是闹得沸沸扬扬吗,上百个应用更新的那一天,还记忆犹新。
今天又看到了个 Apache Dubbo 的高危漏洞通告,好家伙一看这版本,我们的应用有漏洞…
其实这个漏洞爆出来已经很多天了,影响面没 Log4j2 大,所以没那么“火”,不过也是个高危漏洞。
又是一个可以远程代码执行的漏洞,漏洞的类型是因为反序列化的问题。
从 360网络安全响应中心官网来看,1.14 号就通告了。
对这个漏洞的评定结果如下:
可以看到,还是属于影响比较严重的漏洞。
具体是因为 Apache Dubbo hessian-lite 3.2.11 及之前的版本存在反序列化漏洞,而这个 hessina-lite 恰巧就是 Dubbo 默认的序列化方法
hessian2序列化:hessian是一种跨语言的高效二进制序列化方式。但这里实际不是原生的hessian2序列化,而是阿里修改过的hessian lite,它是dubbo RPC默认启用的序列化方式
一般没特殊需求都不会改默认的实现,所以大部分用了 Dubbo 都会中这个招。
具体的影响版本如下:
所以用 Dubbo 的同学快去排查下自己的应用,看看是否受到影响。
参考:https://cert.360.cn/warning/detail?id=413132b068d5e062e3059adc758d3500
我是yes,我们下篇见~