Dubbo 反序列化漏洞，可导致远程代码执行-低调大师

Dubbo 反序列化漏洞，可导致远程代码执行

2020-06-26 1112

近日 Dubbo 官方报告了一个 Dubbo 远程代码执行问题（CVE-2020-1948），该问题由 Provider 反序列化漏洞引起。根据介绍，攻击者可以使用无法识别的服务名称或方法名称，并带上一些恶意参数有效载荷发送 RPC 请求。当恶意参数反序列化后，将执行一些恶意代码。

受影响的版本：

2.7.0 <= Dubbo Version <= 2.7.6
2.6.0 <= Dubbo Version <= 2.6.7
所有 2.5.x 版本（官方团队不再支持）

所有 Dubbo 版本都可以升级到 2.7.7 或更高版本，避免该漏洞：https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

详情查看邮件列表。

微信关注我们

原文链接：https://www.oschina.net/news/116730/dubbo-provider-default-deserialization-cause-rce

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

微软与哈佛大学合作开源差分隐私平台

微软与哈佛大学OpenDP Initiative 合作研发并开源了首个用于差分隐私的平台。这项工作已持续了将近一年，去年九月，微软首席数据分析管 John Kahan 曾宣布项目的开展：“我们需要找到一种分析数据的方式，以释放数据的全部潜力，同时又不冒拥有数据者隐私的风险。” 差分隐私（differential privacy）这一概念由来自微软研究院的 Cynthia Dwork 和哈佛大学计算机科学教授 Gordon McKay 共同研究数年，并于 2006 年提出。它能够做到在不泄露个体隐私信息的情况下，对整体数据集进行分析，得出有效结论，并防止差分攻击。这主要是通过添加误差或噪音来实现。适量的噪音会被添加到统计结果中，以掩盖单个数据点的贡献。通过差分隐私保护手段，任何人都无法从数据集中推断出任何特定的个人信息，甚至无法判断特定个人是否包含在数据集里。该项技术仍处于发展阶段，微软表示开源平台对于技术的日趋成熟和广泛使用都非常重要。“大型且开放的数据集具有超出想象的潜力，而差分隐私平台为人们贡献、协作和利用这些数据铺平了道路”。 OpenDP 平台现已开源，可用于测试及构建。目...

2020-06-26

1169

24 日，openEuler 通过 CNA 准入程序，成为 CVE 编号分发机构。 CVE 全称是 Common Vulnerabilities & Exposures（通用漏洞 & 披露），这是安全领域最知名的一个漏洞披露库，类似国家信息安全漏洞库 cnnvd，其收录着各种类型的漏洞信息，并会给出漏洞相应严重程度分级。CVE 中每个漏洞都拥有唯一CVE 编码，可以通过CVE 编码在漏洞数据库或安全工具中快速找到漏洞影响范围和修补信息。而 CNA（CVE Numbering Authority，CVE 编号机构）是 CVE 编号的分发机构，成员包括供应商、开源项目社区、漏洞研究人员、国家计算机安全应急响应组等，主要职能是在授权范围内分发和管理 CVE 编号。目前有来自21个国家的129 个组织成员，包括Adobe、Apple、Apache、Eclipse Foundation、Google、Kubernetes、PHP Group 等，国内成员包括Alibaba、Huawei、Lenovo、OPPO、Qihoo 360、Vivo、Xiaomi 与 ZTE 等。此次 ...

2020-06-26

1256

资源下载

更多资源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。