020-8711022824小时报障、咨询、投诉热线
020-87110596(办公)
一卡通专题网站 |  网上营业厅

新闻与通知
关于Apache Dubbo Hession 反序列化漏洞的紧急预警
发布时间: 2022-10-22

全校师生:

  近期,发现 Apache Dubbo 组件存在 Hession 反序列化漏洞,攻击者可通过构造特定请求在目标服务器上执行恶意代码,最终获取服务器最高权限。

  Apache Dubbo 是一款高性能、轻量级的开源服务框架,提供了RPC 通信与微服务处理两大关键能力。应用范围较广,因此威胁影响范围较大。请各二级单位高度重视,加强网络安全防护,切实保障网络系统安全稳定运行。


事件信息:

  1. 漏洞信息

CVE 编号:CVE-2022-39198

受影响版本:

  • Apache Dubbo hessian-lite <= 3.2.12

  • Apache Dubbo 2.7.x <= 2.7.17

  • Apache Dubbo 3.0.x <= 3.0.11

  • Apache Dubbo 3.1.x <= 3.1.0

  1. 防范建议

官方已经针对漏洞发布了版本更新,详情如下:

https://github.com/apache/dubbo/tags

  1. 应急处置建议

一旦发现系统中存在漏洞被利用的情况,要第一时间上报网络中心,同时开展以下紧急处置:

  • 一是立即断开被入侵的主机系统的网络连接,防止进一步危害;

  • 二是留存相关日志信息;

  • 三是通过“防范建议”加固系统并通过检查确认无相关漏洞后再恢复网络连接。

网络中心联系电话:020-87110228


                             信息网络工程研究中心(信息化办公室)

                                       2022年10月21日