2020年02月10日，华为云安全团队监测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告，漏洞等级中危。当用户选择http协议进行通信时，攻击者可以通过发送POST请求的时候来执行一个反序列化的操作，由于没有任何安全校验，该漏洞可以造成反序列化执行任意代码。目前，华为云Web应用防火墙（Web Application Firewall，WAF）提供了对该漏洞的防护。

影响的版本范围

漏洞影响的Apache Dubbo产品版本包括： 2.7.0～2.7.4、2.6.0～2.6.7、2.5.x的所有版本。

安全版本

Apache Dubbo 2.7.5版本。

解决方案

建议您将Apache Dubbo升级到2.7.5版本。

如果您无法快速升级版本，或者希望防护更多其他漏洞，可以使用华为云Web应用防火墙对该漏洞进行防护，请参照以下步骤进行防护：

购买WAF。
将网站域名添加到WAF中并完成域名接入，详细操作请参见添加防护域名。
将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

父主题： Web漏洞防护最佳实践

同意关联代理商云淘科技，购买华为云产品更优惠（QQ 78315851）

内容没看懂？ 不太想学习？想快速解决？ 有偿解决： 联系专家