2020年2月13日，華為云安全團隊監(jiān)測到應用廣泛的Apache Dubbo出現(xiàn)一個較為嚴重的漏洞：反序列化漏洞(漏洞編號：CVE-2019-17564)。攻擊者利用該漏洞，可在目標網(wǎng)站上遠程執(zhí)行惡意代碼，最終導致網(wǎng)站被控制、數(shù)據(jù)泄露等。目前，華為云Web應用防火墻(Web Application Firewall，WAF)提供了對該漏洞的防護。

　　一、漏洞原理

　　Apache Dubbo是一款應用廣泛的高性能輕量級的Java 遠程調(diào)用分布式服務框架，支持多種通信協(xié)議。當網(wǎng)站安裝了Apache Dubbo并且啟用http協(xié)議進行通信時，攻擊者可以向網(wǎng)站發(fā)送POST請求，在請求里可以執(zhí)行一個反序列化的操作，由于沒有任何安全校驗，這個反序列化過程可以執(zhí)行任意代碼。這里，序列化是指把某個編程對象轉換為字節(jié)序列的過程，而反序列化是指把字節(jié)序列恢復為某個編程對象的過程。

　　二、影響的版本范圍

　　漏洞影響的Apache Dubbo產(chǎn)品版本包括： 2.7.0~2.7.4、2.6.0~2.6.7、2.5.x 的所有版本。

　　三、防護方案

　　1、Apache Dubbo官方建議用戶網(wǎng)站升級到安全的2.7.5版本。

　　2、如無法快速升級版本，或希望防護更多其他漏洞，可使用華為云WAF內(nèi)置的防護規(guī)則對該漏洞進行防護，步驟如下：

　　1) 購買WAF。

　　2) 將網(wǎng)站域名添加到WAF中并完成域名接入。

　　3) 將Web基礎防護的狀態(tài)設置為“攔截”模式。