未完成的空间

近日 Dubbo 官方报告了一个 Dubbo 远程代码执行问题（CVE-2020-1948），该问题由 Provider 反序列化漏洞引起。根据介绍，攻击者可以使用无法识别的服务名称或方法名称，并带上一些恶意参数有效载荷发送 RPC 请求。当恶意参数反序列化后，将执行一些恶意代码。 我们之前是使用的2.5.3版本的dubbo，这次需要升级到2.7.7以避免该漏洞，而由于dubbo 在2.6.x之后就托管到Apache了，其包名都替换了，很多地方需要修改。