全校师生：

近期，发现 Apache Dubbo 组件存在 Hession 反序列化漏洞，攻击者可通过构造特定请求在目标服务器上执行恶意代码，最终获取服务器最高权限。

Apache Dubbo 是一款高性能、轻量级的开源服务框架，提供了RPC 通信与微服务处理两大关键能力。应用范围较广，因此威胁影响范围较大。请各二级学院、部门高度重视，加强网络安全防护，切实保障网络系统安全稳定运行。

事件信息:

1、漏洞信息

CVE 编号：CVE-2022-39198

受影响版本：

Apache Dubbo hessian-lite <= 3.2.12

Apache Dubbo 2.7.x <= 2.7.17

Apache Dubbo 3.0.x <= 3.0.11

Apache Dubbo 3.1.x <= 3.1.0

2、防范建议

官方已经针对漏洞发布了版本更新，详情如下：

https://github.com/apache/dubbo/tags

3、应急处置建议

一旦发现系统中存在漏洞被利用的情况，要第一时间上报网络中心，同时开展以下紧急处置：

一是立即断开被入侵的主机系统的网络连接，防止进一步危害；

二是留存相关日志信息；

三是通过“防范建议”加固系统并通过检查确认无相关漏洞后再恢复网络连接。

信息中心

2022年10月21日