张贴在 0001

• 安全漏洞

  Monday, January 01, 0001 在 安全公告

  Tags:

  • 安全漏洞

  1. Log4j CVE-2021-44228 漏洞 最近，主流日志组件 log4j2 爆出安全漏洞 CVE-2021-44228。 以下是漏洞 CVE-2021-44228 对 Apache Dubbo 框架的影响总结及用户应对指南。 Dubbo 影响范围 该漏洞对 Dubbo 框架使用安全并无影响。 Dubbo 本身不强依赖 log4j2 框架，也不会通过依赖传递将 log4j2 带到业务工程中去，因此，正在使用 Dubbo 2.7.x、3.0.x 等版本的用户均无需强制升级 Dubbo 版 …

  更多

• 序列化协议安全

  Monday, January 01, 0001 在 安全公告

  Tags:

  • 安全漏洞

  Dubbo3.0在序列化协议安全方面进行了升级加固，推荐使用Tripe协议非Wrapper模式。 该协议默认安全，但需要开发人员编写IDL文件。 Triple协议Wrapper模式下，允许兼容其它序列化数据，提供了良好的兼容性。但其它协议可能存在反序列化安全缺陷，对于Hession2协议，高安全属性用户应当按照samples代码指示，开启白名单模式，框架默认会开启黑名单模式，拦截恶意调用。 不建议使用其它序列化协议，当攻击者可访问Provider接口时，其它序列化协议的安全缺陷， …

  更多