Dubbo 反序列化漏洞,可导致远程代码执行
近日 Dubbo 官方报告了一个 Dubbo 远程代码执行问题(CVE-2020-1948),该问题由 Provider 反序列化漏洞引起。根据介绍,攻击者可以使用无法识别的服务名称或方法名称,并带上一些恶意参数有效载荷发送 RPC 请求。当恶意参数反序列化后,将执行一些恶意代码。
受影响的版本:
- 2.7.0 <= Dubbo Version <= 2.7.6
- 2.6.0 <= Dubbo Version <= 2.6.7
- 所有 2.5.x 版本(官方团队不再支持)
所有 Dubbo 版本都可以升级到 2.7.7 或更高版本,避免该漏洞:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7
详情查看邮件列表。
关注公众号
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
-
上一篇
微软与哈佛大学合作开源差分隐私平台
微软与哈佛大学OpenDP Initiative 合作研发并开源了首个用于差分隐私的平台。这项工作已持续了将近一年,去年九月,微软首席数据分析管 John Kahan 曾宣布项目的开展:“我们需要找到一种分析数据的方式,以释放数据的全部潜力,同时又不冒拥有数据者隐私的风险。” 差分隐私(differential privacy)这一概念由来自微软研究院的 Cynthia Dwork 和哈佛大学计算机科学教授 Gordon McKay 共同研究数年,并于 2006 年提出。它能够做到在不泄露个体隐私信息的情况下,对整体数据集进行分析,得出有效结论,并防止差分攻击。 这主要是通过添加误差或噪音来实现。适量的噪音会被添加到统计结果中,以掩盖单个数据点的贡献。通过差分隐私保护手段,任何人都无法从数据集中推断出任何特定的个人信息,甚至无法判断特定个人是否包含在数据集里。 该项技术仍处于发展阶段,微软表示开源平台对于技术的日趋成熟和广泛使用都非常重要。“大型且开放的数据集具有超出想象的潜力,而差分隐私平台为人们贡献、协作和利用这些数据铺平了道路”。 OpenDP 平台现已开源,可用于测试及构建。目...
-
下一篇
openEuler 成为 CNA,可分发与管理 CVE 编号
24 日,openEuler 通过 CNA 准入程序,成为 CVE 编号分发机构。 CVE 全称是 Common Vulnerabilities & Exposures(通用漏洞 & 披露),这是安全领域最知名的一个漏洞披露库,类似国家信息安全漏洞库 cnnvd,其收录着各种类型的漏洞信息,并会给出漏洞相应严重程度分级。CVE 中每个漏洞都拥有唯一CVE 编码,可以通过CVE 编码在漏洞数据库或安全工具中快速找到漏洞影响范围和修补信息。 而 CNA(CVE Numbering Authority,CVE 编号机构)是 CVE 编号的分发机构,成员包括供应商、开源项目社区、漏洞研究人员、国家计算机安全应急响应组等,主要职能是在授权范围内分发和管理 CVE 编号。目前有来自21个国家的129 个组织成员,包括Adobe、Apple、Apache、Eclipse Foundation、Google、Kubernetes、PHP Group 等,国内成员包括Alibaba、Huawei、Lenovo、OPPO、Qihoo 360、Vivo、Xiaomi 与 ZTE 等。 此次 ...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- Windows10,CentOS7,CentOS8安装Nodejs环境
- SpringBoot2整合Redis,开启缓存,提高访问速度
- MySQL数据库在高并发下的优化方案
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Dcoker安装(在线仓库),最新的服务器搭配容器使用
- CentOS7,8上快速安装Gitea,搭建Git服务器
微信收款码
支付宝收款码