全校师生：

  近期，发现 Apache Dubbo 组件存在 Hession 反序列化漏洞，攻击者可通过构造特定请求在目标服务器上执行恶意代码，最终获取服务器最高权限。

  Apache Dubbo 是一款高性能、轻量级的开源服务框架，提供了RPC 通信与微服务处理两大关键能力。应用范围较广，因此威胁影响范围较大。请各二级单位高度重视，加强网络安全防护，切实保障网络系统安全稳定运行。

事件信息:

1. 漏洞信息

CVE 编号：CVE-2022-39198

受影响版本：

• Apache Dubbo hessian-lite <= 3.2.12

• Apache Dubbo 2.7.x <= 2.7.17

• Apache Dubbo 3.0.x <= 3.0.11

• Apache Dubbo 3.1.x <= 3.1.0

2. 防范建议

官方已经针对漏洞发布了版本更新，详情如下：

https://github.com/apache/dubbo/tags

3. 应急处置建议

一旦发现系统中存在漏洞被利用的情况，要第一时间上报网络中心，同时开展以下紧急处置：

• 一是立即断开被入侵的主机系统的网络连接，防止进一步危害；

• 二是留存相关日志信息；

• 三是通过“防范建议”加固系统并通过检查确认无相关漏洞后再恢复网络连接。

网络中心联系电话：020-87110228

                             信息网络工程研究中心（信息化办公室）

                                       2022年10月21日