|
6月23號���,開源框架Apache Dubbo披露了一項默認反序列化遠程代碼執(zhí)行漏洞(CVE-2020-1948)和相應的修復方案�����。該漏洞由騰訊安全玄武實驗室研究員于去年11月首次提交�。 Apache Dubbo擅長處理分布式和微服務系統(tǒng)遠程調用��。據(jù)Apache 官方信息顯示��,包括阿里巴巴�����、網(wǎng)易云音樂����、去哪兒、中國人壽�����、中國電信、當當網(wǎng)���、滴滴出行��、海爾和中國工商銀行等在內的150多家企業(yè)使用該框架進行分布式系統(tǒng)和微服務集群的構建�����。此次漏洞被定義為高危漏洞����,攻擊者可以發(fā)送未經(jīng)驗證的服務名或方法名的RPC請求��,同時配合附加惡意的參數(shù)負載���。當惡意參數(shù)被反序列化時�,它將執(zhí)行惡意代碼���。理論上所有使用這個框架開發(fā)的產(chǎn)品都會受到影響���,可能會導致不同程度的業(yè)務風險��,最嚴重的可能導致服務器被攻擊者控制。 目前Apache Dubbo已經(jīng)發(fā)布了2.7.7版本�����,并通知開發(fā)者通過升級新版本來規(guī)避該漏洞的影響�����。騰訊安全玄武實驗室建議�,因無法直接通過與該服務交互來判斷Dubbo的版本,建議用戶通過排查Dubbo所使用的注冊中心(如zookeeper���、 redis��、nacos等)中所標示的Dubbo服務端版本號來確定��,由此來做對應的防護以及修復處理��。騰訊云防火墻�����、騰訊T-Sec主機安全(云鏡)���、騰訊T-Sec高級威脅檢測系統(tǒng)(御界)也已發(fā)布了檢測工具�,幫助開發(fā)者展開安全自查�����。 上個月����,騰訊安全玄武實驗室發(fā)現(xiàn)了開源JSON解析庫Fastjson 存在遠程代碼執(zhí)行漏洞,autotype開關的限制可被繞過��,然后鏈式地反序列化某些原本是不能被反序列化的有安全風險的類��。該漏洞被利用可直接獲取服務器權限��,被官方定級為高危安全漏洞�。6月初,F(xiàn)astjson已經(jīng)發(fā)布了新版本�����,修復了該漏洞��。 騰訊安全玄武實驗室被行業(yè)稱為“漏洞挖掘機”����,已經(jīng)發(fā)現(xiàn)并協(xié)助國內外知名企業(yè)修復了上千個安全問題�����,對外報告的漏洞中,僅有CVE編號的就超過800個�,2015年針對條碼閱讀器的安全研究成果“BadBarcode”、2016年針對微軟網(wǎng)絡協(xié)議的研究成果“BadTunnel”��、2017 年針對移動應用的研究成果“應用克隆”�����、2018年針對屏下指紋驗證技術的研究成果“殘跡重用”都曾經(jīng)在業(yè)內引發(fā)廣泛的關注�����。憑借輸出的漏洞研究報告�����,玄武實驗室連續(xù)多年在國家信息安全漏洞共享平臺原創(chuàng)積分榜上位居第一��。
|
