2023年12月20日,Apache官方发布安全通告,披露了其Dubbo存在反序列化漏洞,漏洞编号CVE-2023-29234。Dubbo是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的RPC实现服务的输出和输入功能,可以和Spring框架无缝集成。
漏洞风险:据官方描述,ApacheDubbo某些版本在解码恶意包时存在反序列化漏洞,导致远程攻击者可利用该漏洞执行任意代码。
风险等级:高风险。
影响范围:
3.1.0~3.1.10
3.2.0~3.2.4
修复建议:升级至3.1.6或3.2.4版本及其以上
进行安全更新方法:
http://www.openwall.com/lists/oss-security/2023/12/15/2
