【漏洞详情】

Apache Dubbo是一个分布式框架，当Apache Dubbo启用HTTP协议之后存在反序列化漏洞(CVE-2019-17564)，漏洞风险较高，建议受影响的用户综合评估安全及业务影响，及时升级修复，避免安全风险。

【风险评级】

高危

【影响范围】

2.7.0 <= Apache Dubbo <= 2.7.4

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo 2.5.x

【修复建议】

目前Apache Dubbo官方已针对这些漏洞发布安全更新， 建议受影响用户综合评估漏洞风险和业务影响，及时升级至2.7.5版本，避免安全风险

安全版本下载地址：https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5

【参考链接】

https://www.mail-archive.com/dev@dubbo.apache.org/msg06225.html

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2020年2月12日