CVE-2020-1948 漏洞是否影响2.6.8版本？

[kentwang94]

漏洞邮件链接，摘要：

Severity: Important

Vendor:
The Dubbo Project Team

Versions Affected:
Dubbo 2.7.0 to 2.7.6
Dubbo 2.6.0 to 2.6.7
Dubbo all 2.5.x versions (not supported by official team any longer)

Description:
This vulnerability can affect all Dubbo users stay on version 2.7.6 or lower.

如漏洞描述，2.6.8不在受影响的范围内。但又说低于2.7.6都受影响，建议升级到2.7.7解决漏洞。
需要确认2.6.8是否受该漏洞影响，是否需要升级到2.7.7？

[furaul]

同问该问题。
看了2.6.8的Release note，没有提到解决该漏洞。
漏洞邮件时间戳是2020/06/23 02:21:33
2.6.8发布时间是10 Mar。
看起来应该2.6.8也是有问题的。
ps，同时咨询一个问题，2.7.7版本建议上生产环境不，现在要升到2.7.7还是有点顾虑的。

[vincent2518]

同问，看2.7.7有一个疑似涉及该漏洞的修改：Ignore deserilization when service/method not found #5733
，不知是否在历史版本中增加这段逻辑也可以达到目的

[Ph0rse]

引用漏洞发现者的话（http://rui0.cn/archives/1338）：
“这里需要注意一下，因为最近的Dubbo反序列化漏洞公布了。所以需要补充一下，因为主题的关系文章中只提到了Dubbo的toString触发点，但是Dubbo实际上在刚传入序列化值时也有一个触发点，漏洞公布的邮件里并没有涉及全部的细节以及poc，所以一些版本如果在代码层面只去掉输出arguments处理，仍然还有其他触发位置可能存在风险。
建议各位开发者尽量采取升级措施，或在代码层面去掉arguments的输出同时对Hessian进行加固。“

根本问题在Hessian协议上，not found只是一个触发点，在目前的版本中，还存在一个已知触发点没有公布，大概率有更多的触发点。因此建议维持最新版，或参考https://xz.aliyun.com/t/7238，对Hessian进行加固，并保持SPI加入的黑名单最新。

最省心的方法是将RPC协议换为protobuf（官方文档里有方法），不需要关注太多安全方面的知识，但需要学习成本和服务运行成本。长远来看很值得。

[chickenlj]

#6364

[qixiaobo]

显然是2.6.8是有问题的 这个解决了当时dubbo的http协议的安全问题 并未解决该cve