Dubbo安全漏洞通告】-CVE-2021-32824-Telnet ...

升级Dubbo版本:使用Dubbo 2.5.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。使用Dubbo 2.6.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。使用Dubbo 2.7.x的用户,请升级到Dubbo 2.7.12。在应用程序的配置文件(例如 application....

Dubbo安全漏洞通告】-CVE-2021-32824-Telnet ...

升级Dubbo版本:使用Dubbo 2.5.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。使用Dubbo 2.6.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。使用Dubbo 2.7.x的用户,请升级到Dubbo 2.7.12。在应用程序的配置文件(例如 application....

Dubbo安全漏洞通告】-CVE-2022-39198-Hessian绕过反...

漏洞评级 中 影响范围 使用以下版本的用户:Dubbo 2.7.0至2.7.17 Dubbo 3.0.0至3.0.11 Dubbo 3.1.0 安全建议 请根据您使用的Dubbo版本,升级到指定版本。若您目前使用Dubbo 2.7.x版本,请升级至Dubbo 2.7.18。若您目前使用Dubbo 3.0.x版本...

Dubbo安全漏洞通告】-CVE-2021-25641-Hessian2协议...

Dubbo 2.7.8或2.6.9以前的版本中,攻击者可以构造自己需要的 serialization id,并发送给服务端,而服务端会无条件使用该 serialization id 进行反序列化。这意味着可能存在Kryo、FST或者 native-java等安全性较差的序列化方式,攻击者...

Dubbo安全漏洞通告】-CVE-2021-25641-Hessian2协议...

Dubbo 2.7.8或2.6.9以前的版本中,攻击者可以构造自己需要的 serialization id,并发送给服务端,而服务端会无条件使用该 serialization id 进行反序列化。这意味着可能存在Kryo、FST或者 native-java等安全性较差的序列化方式,攻击者...

Dubbo安全漏洞通告】-CVE-2021-37579-绕过反序列化...

本文介绍CVE-2021-37579漏洞的原因以及如何解决。漏洞描述 Dubbo服务提供者会检查传入的请求,并且...安全建议 请根据您使用的Dubbo版本,升级到指定版本。使用Dubbo 2.7.x的用户,请升级到2.7.13。使用Dubbo 3.0.x的用户,请升级到3.0.2。

Dubbo安全漏洞通告】-CVE-2021-37579-绕过反序列化...

本文介绍CVE-2021-37579漏洞的原因以及如何解决。漏洞描述 Dubbo服务提供者会检查传入的请求,并且...安全建议 请根据您使用的Dubbo版本,升级到指定版本。使用Dubbo 2.7.x的用户,请升级到2.7.13。使用Dubbo 3.0.x的用户,请升级到3.0.2。

Dubbo安全漏洞通告】-CVE-2021-43297-RCE攻击风险

使用Dubbo 3.0.0到3.0.4的所有用户 安全建议 请根据您使用的Dubbo版本,升级到指定版本。使用Dubbo 2.6.x的用户,请升级到2.6.12。使用Dubbo 2.7.x的用户,请升级到2.7.15。使用Dubbo 3.0.x的用户,请升级到3.0.5 如果您的应用无法及时修复...

Dubbo安全漏洞通告】-CVE-2021-36162-Yaml 反序列化...

本文介绍CVE-2021-36162漏洞的...安全建议 请根据您使用的Dubbo版本,升级到指定版本。使用Dubbo 2.7.x的用户,请升级到Dubbo 2.7.13。使用Dubbo 3.x的用户,请升级到Dubbo 3.0.2。使用Dubbo-admin的用户,请将Dubbo-admin升级到最新版本

Dubbo安全漏洞通告】-CVE-2021-43297-RCE攻击风险

使用Dubbo 3.0.0到3.0.4的所有用户 安全建议 请根据您使用的Dubbo版本,升级到指定版本。使用Dubbo 2.6.x的用户,请升级到2.6.12。使用Dubbo 2.7.x的用户,请升级到2.7.15。使用Dubbo 3.0.x的用户,请升级到3.0.5 如果您的应用无法及时修复...

Dubbo安全漏洞通告】-CVE-2021-36162-Yaml 反序列化...

本文介绍CVE-2021-36162漏洞的...安全建议 请根据您使用的Dubbo版本,升级到指定版本。使用Dubbo 2.7.x的用户,请升级到Dubbo 2.7.13。使用Dubbo 3.x的用户,请升级到Dubbo 3.0.2。使用Dubbo-admin的用户,请将Dubbo-admin升级到最新版本

Dubbo安全漏洞通告】-CVE-2021-30179-Generic ...

安全建议 请根据您使用的Dubbo版本,升级到指定版本。使用Dubbo 2.5.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。使用Dubbo 2.6.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。使用Dubbo 2.7.x的用户,请升级到Dubbo 2.7.12。

Dubbo安全漏洞通告】-CVE-2021-30179-Generic ...

安全建议 请根据您使用的Dubbo版本,升级到指定版本。使用Dubbo 2.5.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。使用Dubbo 2.6.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。使用Dubbo 2.7.x的用户,请升级到Dubbo 2.7.12。

Dubbo安全漏洞通告】-CVE-2021-30181-Nashorn脚本...

安全建议 请根据您使用的Dubbo版本,升级到指定版本。使用Dubbo 2.5.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。使用Dubbo 2.6.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。使用Dubbo 2.7.x的用户,请升级到Dubbo 2.7.12。

Dubbo安全漏洞通告】-CVE-2021-30181-Nashorn脚本...

安全建议 请根据您使用的Dubbo版本,升级到指定版本。使用Dubbo 2.5.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。使用Dubbo 2.6.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。使用Dubbo 2.7.x的用户,请升级到Dubbo 2.7.12。

【安全漏洞通告】EDAS客户机中Dubbo应用CVE-2020-...

漏洞等级 中危 影响版本 Dubbo 2.7.0~2.7.7 Dubbo 2.6.0~2.6.8 Dubbo 2.5.x(官方团队已不再维护和更新)漏洞详情 当Dubbo用户使用Hessaian2反序列化HashMap对象时,一些存储在HashMap中的类的函数在一系列程序调用后被执行,这些特殊函数...

Dubbo安全漏洞通告】-CVE-2021-30180-YAML规则加载...

安全建议 请根据您使用的Dubbo版本,升级到指定版本。使用Dubbo 2.5.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。使用Dubbo 2.6.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。使用Dubbo 2.7.x的用户,请升级到Dubbo 2.7.12。

Dubbo安全漏洞通告】-CVE-2021-30180-YAML规则加载...

安全建议 请根据您使用的Dubbo版本,升级到指定版本。使用Dubbo 2.5.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。使用Dubbo 2.6.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。使用Dubbo 2.7.x的用户,请升级到Dubbo 2.7.12。

Dubbo安全漏洞通告】-CVE-2021-43297-Hessian在序列...

漏洞描述 在Dubbo Hessian-Lite 3.2.11及之前版本中存在潜在RCE攻击风险。Hessian-Lite在遇到序列化异常时会输出相关信息,这可能导致触发某些恶意定制的Bean的toString方法,从而引发RCE攻击。漏洞评级 高 影响范围 使用Dubbo 2.6.0到2.6....

版本说明

开源版 版本 发布时间 发布说明 3.1.1 2021-04-15 新增 添加数据脱敏扩展点。3.1.0 2021-01-29 新增 支持 Kafka。支持 RabbitMQ。支持 Oracle rac JDBC URL。支持 Hikari。更新 优化 spring mvc filter 的错误标记。修复 修复 flexible ...

使用离群实例摘除保障Dubbo应用的可用性

QPS下限 QPS按照统计时间窗口计算,Dubbo 2.7版本的应用的统计时间窗口为15秒,其它Dubbo版本和Spring Cloud应用的统计时间窗口为10秒。当在统计时间窗口(例如15秒)内,应用的QPS达到设置的下限后开始进行错误率统计分析。摘除实例比例...

配置从HTTP到Dubbo协议转换

服务版本 Dubbo服务的版本,当后端服务没有设置版本时此项默认为0.0.0。服务分组 Dubbo服务的分组,当后端服务没有设置分组时此项可以不填。方法映射 说明 方法映射指一个Dubbo方法的映射规则,通过单击+方法映射 您可以配置多条方法映射,...

配置从HTTP到Dubbo协议转换

服务版本 Dubbo服务的版本,当后端服务没有设置版本时此项默认为0.0.0。服务分组 Dubbo服务的分组,当后端服务没有设置分组时此项可以不填。方法映射 说明 方法映射指一个Dubbo方法的映射规则,通过单击+方法映射 您可以配置多条方法映射,...

MSE Nacos SDK的应用和Nacos SDK限制使用版本

2.7.19及以下版本 Dubbo在订阅服务时,会同时订阅一个服务的多个服务名,但在聚合地址列表时会导致Consumer概率性找不到Provider。更多信息,请参见 详情。升级至2.7.20以上版本。3.0.0~3.1.5 升级至3.1.6以上版本。Spring Cloud Alibaba ...

开源版和商业版介绍

商业版本 除了开源版能力,还对接服务注册中心,支持消息、分布式事务等能力。适合有上云需求、对外(公有云、外部专有云)输出需求的场景。商业版参考文档。各个版本对中间件的支持以及更加详细的对比如下:能力/中间件 SOFABoot 开源版 ...

压测Dubbo微服务

testgroup 版本 Dubbo微服务版本Version,默认版本1.0。1.0 方法名 暴露服务的方法。sayHello 连接超时 Dubbo接口建立连接的超时时间。5000 响应超时 Dubbo接口获取响应的超时时间。20000 服务参数 参数 描述 示例 普通参数 需要压测服务的...

压测Dubbo微服务

testgroup 版本 Dubbo微服务版本Version,默认版本1.0。1.0 方法名 暴露服务的方法。sayHello 连接超时 Dubbo接口建立连接的超时时间。5000 响应超时 Dubbo接口获取响应的超时时间。20000 服务参数 参数 描述 示例 普通参数 需要压测服务的...

配置标签路由

限制项 限制值 Spring Cloud版本 Spring Cloud Edgware及以上版本 Dubbo版本 2.5.3~2.7.8 客户端类型 RestTemplate FeignClient Java应用JDK版本 目前支持JDK 1.6、1.7和1.8版本应用接入 负载均衡类型 Ribbon LoadBalancer Spring Cloud ...

使用离群实例摘除保障Spring Cloud应用的可用性

QPS下限 QPS按照统计时间窗口进行计算,Dubbo 2.7版本的应用的统计时间窗口为15秒,其它Dubbo版本和Spring Cloud应用的统计时间窗口为10秒。当在统计时间窗口(例如15秒)内应用的QPS达到设置的下限后开始进行错误率统计分析。摘除实例比例...

创建有状态StatefulSet应用

OpenJDK 17兼容测试数据 Dubbo版本 Spring Boot版本 Nacos-Client版本 接口调用 ARMS监控 服务列表 2.7.14 2.7.9 1.4.4 正常 正常 正常 2.7.14 2.7.9 2.1.2 正常 正常 正常 2.7.14 2.7.9 2.2.0 正常 正常 正常 2.7.22 2.7.9 1.4.4 正常 ...

【安全漏洞通告】EDAS客户机中Dubbo应用CVE-2020-1948...

影响版本 Dubbo 2.7.0 to 2.7.6 Dubbo 2.6.0 to 2.6.7 Dubbo all 2.5.x versions(已不再更新维护)漏洞分析 通过对攻击者对Hessian2序列化方式的研究、Payload构造过程的分析,要想利用该漏洞需要满足以下条件:Dubbo服务端应用引入了 ...

摘除离群实例

QPS下限 QPS按照统计时间窗口进行计算,Dubbo版本和Spring Cloud应用的统计时间窗口都为10秒。当在统计时间窗口内应用的QPS达到设置的下限后开始进行错误率统计分析。摘除实例比例上限 摘除的异常实例比例上限,即达到阈值后,不再摘除异常...

事件中心事件汇总

若使用Dubbo,检查Dubbo版本并升级至最新版本。增加jute.maxbuffer配置,防止宕机恢复失败。ZooKeeper:FullGc ZooKeeper集群发生(长时间/多次)FullGC 警告 ZooKeeper:CMSGc:Executing:ZooKeeper集群发生(长时间/多次)FullGC Full GC...

配置推空保护

Dubbo版本 2.5.3~2.7.8 Dubbo 3.0+版本支持当前处于灰度中。注册中心类型 Nacos Eureka ZooKeeper-前提条件 已 创建Kubernetes托管版集群。已开通MSE微服务治理专业版。请参见 开通MSE微服务治理。已将ACK微服务应用接入MSE治理中心。具体...

基于MSE云原生网关实现全链路灰度

当您部署的Spring Cloud应用或Dubbo应用存在升级版本时,可能会导致无法将具有一定特征的流量路由到应用的目标版本。通过MSE提供的全链路灰度能力,您无需修改业务代码,就可以实现端到端的全链路流量控制。泳道可以将应用的相关版本隔离成...

基于MSE云原生网关实现全链路灰度

当您部署的Spring Cloud应用或Dubbo应用存在升级版本时,可能会导致无法将具有一定特征的流量路由到应用的目标版本。通过MSE提供的全链路灰度能力,您无需修改业务代码,就可以实现端到端的全链路流量控制。泳道可以将应用的相关版本隔离成...

基于MSE Ingress的全链路灰度

Dubbo版本 2.5.3~2.7.8 Dubbo 3.0及以上版本当前处于灰度中,如有场景需求,请 提工单。客户端类型 Resttemplate Spring Cloud OpenFeign 无。Java应用JDK版本 目前支持JDK 1.6、1.7、1.8、1.11、1.17版本应用接入。无。负载均衡类型 ...

MongoDB产品生命周期策略

商业化(GA)暂无计划 MongoDB 4.4 版本 商业化(GA)MongoDB 5.0 版本 商业化(GA)MongoDB 6.0 版本 商业化(GA)MongoDB 7.0 版本 商业化(GA)服务承诺与建议 在产品生命周期关键里程碑时间点到来前,我们会通过公告、站内信、邮件或...

配置微服务治理

使用限制 仅Spring Cloud和Dubbo应用支持无侵入接入推空保护和无损上线微服务治理能力,对应支持的版本如下:限制项 推空保护 无损上线 Spring Cloud 支持Spring Cloud Edgware及以上版本 支持Spring Cloud Edgware及以上版本 Dubbo 支持...

支持组件列表

组件 支持版本 支持该组件的Java Agent版本 支持该组件的SDK版本 Dubbo Agent:3.x,2.7.x,2.6.x SDK:3.x,2.7.x,2.6.x All All Web Servlet SDK:2.x+Agent:3.0+All All Spring Boot 1.3.x+All 请参见 说明 Spring MVC 4.x+All 请参见...
共有63条 < 1 2 3 4 ... 63 >
跳转至: GO
产品推荐
云服务器 安全管家服务 安全中心
这些文档可能帮助您
企业级分布式应用服务 Serverless 应用引擎 全局事务服务 (文档停止维护) 金融分布式架构 弹性公网IP 短信服务

新品推荐

新人特惠 爆款特惠 最新活动 免费试用
新人特惠 爆款特惠 最新活动 免费试用