Apache Dubbo Hessian2远程代码执行漏洞（CVE-2020-11995）

一、概要

近日华为云监测到Apache Dubbo发布安全公告，披露其默认的反序列化协议 Hessian2存在远程代码执行漏洞（CVE-2020-11995）。在Hessian2对HashMap对象进行反序列化期间，存储在类HasMap中的某些函数将在一系列程序调用后被执行，攻击者可利用此漏洞触发远程代码执行。

华为云提醒使用Apache Dubbo的用户及时安排自检并做好安全加固。

参考链接：

https://www.mail-archive.com/dev@dubbo.apache.org/msg06676.html

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Apache Dubbo 2.7.0 ~ 2.7.7

Apache Dubbo 2.6.0 ~ 2.6.8

Apache Dubbo 所有 2.5.x 版本 (官方已不再提供支持)

安全版本：

Apache Dubbo 2.7.8

Apache Dubbo 2.6.9

四、漏洞处置

目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本：

Apache Dubbo 2.7.8下载地址：https://github.com/apache/dubbo/releases/tag/dubbo-2.7.8

Apache Dubbo 2.6.9下载地址：https://github.com/apache/dubbo/releases/tag/dubbo-2.6.9

临时规避措施：

无法及时升级的用户，可参考官方提供的临时方案在Hessian2 3.2.9中设置支持白名单来降低安全风险。

参考链接：https://github.com/apache/dubbo-hessian-lite/releases/tag/v3.2.9

注：修复漏洞前请将资料备份，并进行充分测试。