【安全预警】关于Apache Dubbo服务存在反序列化漏洞的风险提示

校内各单位：

接上级部门通知，Apache Dubbo 存在反序列化漏洞，请各单位网络管理员组织排查本单位信息系统是否受该漏洞影响，尽快采取安全措施阻止漏洞。对于此漏洞的情况说明如下：

一、漏洞情况

Apache Dubbo 存在反序列化漏洞，攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷，当恶意参数被反序列化时，可以造成远程代码执行。

二、影响版本

该漏洞影响版本如下：
       Apache Dubbo hessian-lite <=3.2.12
       Apache Dubbo 2.7.x <=2.7.17
       Apache Dubbo 3.0.x <=3.0.11
       Apache Dubbo 3.1.x <=3.1.0

三、修复方案

1.可通过下载官方补丁修复漏洞：下载地址如下：https://github.com/apache/dubbo/tags

2.如无法完成升级，可以使用白名单限制20880端口（默认端口）的访问等措施来降低安全风险。

联系人：李振建、许思思 0431-85168327        

大数据和网络管理中心

2022年10月27日