Vulnerabilità: CVE-2020-11995

Una vulnerabilità deserializzazione esisteva in Dubbo 2.7.5 e le sue versioni precedenti, che potrebbe provocare l’esecuzione di codice dannoso. Maggior parte degli utenti utilizzano Dubbo Hessian2 come predefinito di serializzazione / deserializzazione protool, durante Hessian2 deserializzazione dell’oggetto HashMap, alcune funzioni nelle classi memorizzate in HasMap verranno eseguiti dopo una serie di chiamate di programma, tuttavia, queste funzioni speciali possono causare esecuzione del comando remoto. Ad esempio, la funzione hashCode () della classe EqualsBean di Roma-1.7.0.jar causerà il carico remoto classi maligni ed eseguire codice dannoso creando una richiesta dannosa. Questo problema è stato risolto in Apache Dubbo 2.6.9 e 2.7.8.


https://lists.apache.org/thread.html/r5b2df4ef479209dc4ced457b3d58a887763b60b9354c3dc148b2eb5b%40%3Cdev.dubbo.apache.org%3E
https://lists.apache.org/thread.html/r5b2df4ef479209dc4ced457b3d58a887763b60b9354c3dc148b2eb5b%40%3Cdev.dubbo.apache.org%3E
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11995


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi