Dubbo 反序列化漏洞,可导致远程代码执行
近日 Dubbo 官方报告了一个 Dubbo 远程代码执行问题(CVE-2020-1948),该问题由 Provider 反序列化漏洞引起。根据介绍,攻击者可以使用无法识别的服务名称或 *** 名称,并带上一些恶意参数有效载荷发送 RPC 请求。当恶意参数反序列化后,将执行一些恶意代码。
受影响的版本:
所有 Dubbo 版本都可以升级到 2.7.7 或更高版本,避免该漏洞:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7
详情查看邮件列表。
(稿源:开源中国,封面源自 *** 。)
“Dubbo 反序列化漏洞,可导致远程代码执行” 的相关文章
Lapsus$ 再出手:泄漏 Globant 软件公司 70GB 数据
就在英国警方逮捕了 7 名嫌疑犯之后,近期非常猖獗的黑客组织 Lapsus$ 又有了新动作。在攻击微软、三星、NVIDIA 和 Okta 等公司之后,该组织再次宣布成功攻陷 Globant,后者是一家位于卢森堡的软件开发咨询公司。 在周三宣布自己“度假归来”之后,该组织在其 Telegram 频道...
日本电装德国分部大量机密数据被窃取 黑客威胁将公开
丰田汽车旗下零部件制造商日本电装于13日宣布,其德国当地法人受到了网络攻击。该公司确认其网络感染了勒索软件。被认定发动了此次攻击的黑客集团已经发布了勒索声明。公司称虽然目前并没有立刻对公司经营造成影响,但是“关于受害的详细情况正在调查中”。公司已向德国当地政府提交了受害报告。 据信息安全公司三井物...
美国在俄罗斯对乌克兰采取军事行动前已展开网络防御秘密任务
在俄罗斯对乌克兰采取军事行动的几个月前,一队美国人在乌克兰各地寻找一种非常特殊的威胁。据悉,其中一些小组成员是美国陆军网络司令部的士兵,其他人则是民用承包商和一些美国公司的雇员,他们帮助保护关键基础设施免受俄罗斯机构对乌克兰采取的网络攻击。 自2015年乌克兰电网遭遇网络攻击进而导致基辅部分地区停...
公民实验室:英政府内部网络曾遭“飞马”间谍软件攻击
加拿大多伦多大学下属“公民实验室”(Citizen Lab)的研究人员当地时间周一发文称,该实验室的核心任务是对民间社会的数字威胁进行研究。在调查雇佣军间谍软件的过程中,他们偶尔会观察到一些案例,怀疑政府正在使用间谍软件对其他政府进行国际间谍活动。这些案件绝大多数都不属于他们的范围和任务。然而,在某...
技术专家与黑客展开竞赛 以确保电动汽车网络电网的安全
电动汽车(EV)革命来了。在过去的十年里,插电式混合动力电动车已经从16000辆增长到超过200万辆,汽车高管们预计到2030年,超过50%的美国汽车将是全电动的。不难看出,专家们为何做出如此乐观的预测。除了不断增长的电动汽车车队,今年早些时候签署的美国国会两党基础设施协议将包括75亿美元,以帮助规...
Log4j 漏洞可能需要数月甚至数年时间才能妥善解决
网络安全专家认为 CVE-2021-44228 的普遍性以及容易被利用,这个 Log4j 中的远程代码执行漏洞可能需要数月甚至数年时间才能得到妥善解决。McAfee Enterprise 和 FireEye 的高级威胁研究主管 Steve Povolny 表示,Log4Shell 的破坏力完全和 S...
发表评论
