6月22号，开源框架Apache Dubbo公布了一项默认设置反序列化远程控制代码执行漏洞（CVE-2020-1948）和相对的修补计划方案。该漏洞由腾讯安全玄武实验室研究者于上年11月初次递交。

Apache Dubbo善于解决分布式系统和微服务架构系统软件远程控制启用。据Apache 官方网信息内容表明，包含阿里、网易音乐、去哪、中国人寿保险、中国电信网、当当、滴滴快车、美的和工商银行等以内的150好几家公司应用该架构开展分布式架构和微服务架构群集的搭建。本次漏洞被界定为高风险漏洞， *** 攻击能够推送没经认证的服务项目名或方式名的RPC要求，另外相互配合额外故意的主要参数负荷。当故意主要参数被反序列化时，它将实行恶意程序。理论上全部应用这一架构开发设计的商品都是会遭受危害，很有可能会造成 不一样水平的业务流程风险性，最比较严重的很有可能造成 *** 服务器被 *** 攻击操纵。

现阶段Apache Dubbo早已公布了2.7.7版本，并通告开发人员根据升級新版本来避开该漏洞的危害。腾讯安全玄武实验室提议，因没法立即根据与该服务项目互动来分辨Dubbo的版本，提议客户根据清查Dubbo所应用的认证中心（如zookeeper、 redis、nacos等）中所标识的Dubbo服务器端版本号来明确，从而来做相匹配的安全防护及其修补解决。腾讯云服务服务器防火墙、腾讯官方T-Sec服务器安全性（云镜）、腾讯官方T-Sec高級威协监测系统（御界）也已公布了测试工具，协助开发人员进行安全性自纠自查。

上月，腾讯安全玄武实验室发觉了开源系统 *** ON分析库Fastjson 存有远程控制代码执行漏洞，autotype电源开关的限定可被绕开，随后链条式地反序列化一些本来是不可以被反序列化的有安全隐患的类。该漏洞被运用可立即获得 *** 服务器管理权限，被官方网评定为高风险安全性漏洞。6月初，Fastjson早已公布了新版本，修补了该漏洞。

腾讯安全玄武实验室被领域称之为“漏洞挖机”，早已发觉并帮助世界各国大型企业修补了上百个安全隐患，对外开放汇报的漏洞中，仅有CVE序号的就超出800个，2015年对于条形码阅读软件的安全性科研成果“BadBarcode”、2016年对于微软公司 *** 层协议的科研成果“BadTunnel”、2017 年对于移动智能终端的科研成果“应用克隆”、2018年对于屏下指纹认证技术性的科研成果“残疾等级器重”都以前在业界引起普遍的关心。凭着輸出的漏洞调查报告，玄武实验室持续很多年在我国 *** 信息安全漏洞数据共享平台原創积分排名上稳居之一。

零信任： *** 信息安全防御力构思的完全转型

Mount Locker勒索病毒方案对于税务部门总体目标进行进攻

应用 TinyCheck 专用工具得到大量的隐私保护操纵

亚信安全：2020年勒索软件导致的财产损失升高50%

春节假期，这种 *** 信息安全预防 *** 铭记心头！