压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

6月23號，開源框架Apache Dubbo披露了一項默認反序列化遠程代碼執行漏洞（CVE-2020-1948）和相應的修復方案。該漏洞由騰訊安全玄武實驗室研究員于去年11月首次提交。

Apache Dubbo擅長處理分布式和微服務系統遠程調用。據Apache 官方信息顯示，包括阿里巴巴、網易云音樂、去哪兒、中國人壽、中國電信、當當網、滴滴出行、海爾和中國工商銀行等在內的150多家企業使用該框架進行分布式系統和微服務集群的構建。此次漏洞被定義為高危漏洞，攻擊者可以發送未經驗證的服務名或方法名的RPC請求，同時配合附加惡意的參數負載。當惡意參數被反序列化時，它將執行惡意代碼。理論上所有使用這個框架開發的產品都會受到影響，可能會導致不同程度的業務風險，最嚴重的可能導致服務器被攻擊者控制。

目前Apache Dubbo已經發布了2.7.7版本，并通知開發者通過升級新版本來規避該漏洞的影響。騰訊安全玄武實驗室建議，因無法直接通過與該服務交互來判斷Dubbo的版本，建議用戶通過排查Dubbo所使用的注冊中心（如zookeeper、 redis、nacos等）中所標示的Dubbo服務端版本號來確定，由此來做對應的防護以及修復處理。騰訊云防火墻、騰訊T-Sec主機安全（云鏡）、騰訊T-Sec高級威脅檢測系統（御界）也已發布了檢測工具，幫助開發者展開安全自查。

上個月，騰訊安全玄武實驗室發現了開源JSON解析庫Fastjson 存在遠程代碼執行漏洞，autotype開關的限制可被繞過，然后鏈式地反序列化某些原本是不能被反序列化的有安全風險的類。該漏洞被利用可直接獲取服務器權限，被官方定級為高危安全漏洞。6月初，Fastjson已經發布了新版本，修復了該漏洞。

騰訊安全玄武實驗室被行業稱為“漏洞挖掘機”，已經發現并協助國內外知名企業修復了上千個安全問題，對外報告的漏洞中，僅有CVE編號的就超過800個，2015年針對條碼閱讀器的安全研究成果“BadBarcode”、2016年針對微軟網絡協議的研究成果“BadTunnel”、2017 年針對移動應用的研究成果“應用克隆”、2018年針對屏下指紋驗證技術的研究成果“殘跡重用”都曾經在業內引發廣泛的關注。憑借輸出的漏洞研究報告，玄武實驗室連續多年在國家信息安全漏洞共享平臺原創積分榜上位居第一。