2020年2月13日，華為云安全團(tuán)隊(duì)監(jiān)測(cè)到應(yīng)用廣泛的Apache Dubbo出現(xiàn)一個(gè)較為嚴(yán)重的漏洞：反序列化漏洞(漏洞編號(hào)：CVE-2019-17564)。攻擊者利用該漏洞，可在目標(biāo)網(wǎng)站上遠(yuǎn)程執(zhí)行惡意代碼，最終導(dǎo)致網(wǎng)站被控制、數(shù)據(jù)泄露等。目前，華為云Web應(yīng)用防火墻(Web Application Firewall，WAF)提供了對(duì)該漏洞的防護(hù)。

　　一、漏洞原理

　　Apache Dubbo是一款應(yīng)用廣泛的高性能輕量級(jí)的Java 遠(yuǎn)程調(diào)用分布式服務(wù)框架，支持多種通信協(xié)議。當(dāng)網(wǎng)站安裝了Apache Dubbo并且啟用http協(xié)議進(jìn)行通信時(shí)，攻擊者可以向網(wǎng)站發(fā)送POST請(qǐng)求，在請(qǐng)求里可以執(zhí)行一個(gè)反序列化的操作，由于沒(méi)有任何安全校驗(yàn)，這個(gè)反序列化過(guò)程可以執(zhí)行任意代碼。這里，序列化是指把某個(gè)編程對(duì)象轉(zhuǎn)換為字節(jié)序列的過(guò)程，而反序列化是指把字節(jié)序列恢復(fù)為某個(gè)編程對(duì)象的過(guò)程。

　　二、影響的版本范圍

　　漏洞影響的Apache Dubbo產(chǎn)品版本包括： 2.7.0~2.7.4、2.6.0~2.6.7、2.5.x 的所有版本。

　　三、防護(hù)方案

　　1、Apache Dubbo官方建議用戶網(wǎng)站升級(jí)到安全的2.7.5版本。

　　2、如無(wú)法快速升級(jí)版本，或希望防護(hù)更多其他漏洞，可使用華為云WAF內(nèi)置的防護(hù)規(guī)則對(duì)該漏洞進(jìn)行防護(hù)，步驟如下：

　　1) 購(gòu)買WAF。

　　2) 將網(wǎng)站域名添加到WAF中并完成域名接入。

　　3) 將Web基礎(chǔ)防護(hù)的狀態(tài)設(shè)置為“攔截”模式。