张贴在 0001

  • 安全漏洞

    Monday, January 01, 0001 在 安全公告

    Tags:

    1. Log4j CVE-2021-44228 漏洞 最近,主流日志组件 log4j2 爆出安全漏洞 CVE-2021-44228。 以下是漏洞 CVE-2021-44228 对 Apache Dubbo 框架的影响总结及用户应对指南。 Dubbo 影响范围 该漏洞对 Dubbo 框架使用安全并无影响。 Dubbo 本身不强依赖 log4j2 框架,也不会通过依赖传递将 log4j2 带到业务工程中去,因此,正在使用 Dubbo 2.7.x、3.0.x 等版本的用户均无需强制升级 Dubbo 版 …

    更多

  • Dubbo Go Hessian2 v1.7.0

    Monday, January 01, 0001 在 社区动态

    Dubbo-go-hessian2 v1.7.0已发布,详见 https://github.com/apache/dubbo-go-hessian2/releases/tag/v1.7.0, 以下对这次更新内容进行详细整理。 另外v1.6.3 将 attachment 类型由 map[string]stiring 改为map[string]interface{} 导致版本不兼容问题,这部分已还原,后续的计划是将dubbo协议的request/response对象整体迁移到dubbogo项目中进行 …

    更多

  • Dubbo Go 1.5.1

    Monday, January 01, 0001 在 社区动态

    近期我们发布了 dubbo-go v1.5.1,虽然是 v1.5 的一个子版本,但相比于 v1.5.0, 社区还是投入了很大人力添加了如下重大改进。 1 应用维度注册模型 在新模型 release 后,我们发现 Provider 每个 URL 发布元数据都会注册 ServiceInstance,影响性能需要优化。 我们的优化方案是: 去除 ServiceDiscoveryRegistry 中注册 ServiceInstance 的代码,在 config_loader 中 …

    更多

  • 序列化协议安全

    Monday, January 01, 0001 在 安全公告

    Tags:

    Dubbo3.0在序列化协议安全方面进行了升级加固,推荐使用Tripe协议非Wrapper模式。 该协议默认安全,但需要开发人员编写IDL文件。 Triple协议Wrapper模式下,允许兼容其它序列化数据,提供了良好的兼容性。但其它协议可能存在反序列化安全缺陷,对于Hession2协议,高安全属性用户应当按照samples代码指示,开启白名单模式,框架默认会开启黑名单模式,拦截恶意调用。 不建议使用其它序列化协议,当攻击者可访问Provider接口时,其它序列化协议的安全缺陷, …

    更多