騰訊安全玄武實驗室提交Apache Dubbo高危漏洞，官方已釋出修復版本

6月23號，開源框架Apache Dubbo披露了一項預設反序列化遠端程式碼執行漏洞（CVE-2020-1948）和相應的修復方案。該漏洞由騰訊安全玄武實驗室研究員於去年11月首次提交。

Apache Dubbo擅長處理分散式和微服務系統遠端呼叫。據Apache 官方資訊顯示，包括阿里巴巴、網易雲音樂、去哪兒、中國人壽、中國電信、噹噹網、滴滴出行、海爾和中國工商銀行等在內的150多家企業使用該框架進行分散式系統和微服務叢集的構建。此次漏洞被定義為高危漏洞，攻擊者可以傳送未經驗證的服務名或方法名的RPC請求，同時配合附加惡意的引數負載。當惡意引數被反序列化時，它將執行惡意程式碼。理論上所有使用這個框架開發的產品都會受到影響，可能會導致不同程度的業務風險，最嚴重的可能導致伺服器被攻擊者控制。

目前Apache Dubbo已經發布了2.7.7版本，並通知開發者透過升級新版本來規避該漏洞的影響。騰訊安全玄武實驗室建議，因無法直接透過與該服務互動來判斷Dubbo的版本，建議使用者透過排查Dubbo所使用的註冊中心（如zookeeper、 redis、nacos等）中所標示的Dubbo服務端版本號來確定，由此來做對應的防護以及修復處理。騰訊雲防火牆、騰訊T-Sec主機安全（雲鏡）、騰訊T-Sec高階威脅檢測系統（御界）也已釋出了檢測工具，幫助開發者展開安全自查。

上個月，騰訊安全玄武實驗室發現了開源JSON解析庫Fastjson 存在遠端程式碼執行漏洞，autotype開關的限制可被繞過，然後鏈式地反序列化某些原本是不能被反序列化的有安全風險的類。該漏洞被利用可直接獲取伺服器許可權，被官方定級為高危安全漏洞。6月初，Fastjson已經發布了新版本，修復了該漏洞。

騰訊安全玄武實驗室被行業稱為“漏洞挖掘機”，已經發現並協助國內外知名企業修復了上千個安全問題，對外報告的漏洞中，僅有CVE編號的就超過800個，2015年針對條碼閱讀器的安全研究成果“BadBarcode”、2016年針對微軟網路協議的研究成果“BadTunnel”、2017 年針對移動應用的研究成果“應用克隆”、2018年針對屏下指紋驗證技術的研究成果“殘跡重用”都曾經在業內引發廣泛的關注。憑藉輸出的漏洞研究報告，玄武實驗室連續多年在國家資訊保安漏洞共享平臺原創積分榜上位居第一。