校属各单位:
监测发现,Apache Dubbo服务存在反序列化漏洞,攻击者可以通过构造特定请求在服务器上执行恶意代码。
该漏洞影响版本如下:
Apache Dubbo hessian-lite <=3.2.12
Apache Dubbo 2.7.x <=2.7.17
Apache Dubbo 3.0.x <=3.0.11
Apache Dubbo 3.1.x <=3.1.0
目前尚未发现在野利用(安全漏洞)的情况,Apache已发布修复了此漏洞的更新版本。如受影响,可通过下载官方的版本更新修复漏洞,下载地址如下:https://github.com/apache/dubbo/tags
如无法完成升级,可以使用白名单限制相关端口的访问等措施来降低安全风险。
请各单位排查信息系统是否受该漏洞影响,排查处置情况请于10月24日12时前通过广讯通反馈至网络与信息技术中心(数据中心)王刚处。
网络与信息技术中心(数据中心)
2022年10月23日
