Dubbo和FastJson反序列化漏洞

最新推荐文章于 2024-05-30 14:49:13 发布
最新推荐文章于 2024-05-30 14:49:13 发布
阅读量1k 收藏
点赞数
分类专栏: java dubbo 文章标签: dubbo fastjson java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abcdad/article/details/107015827
版权

Dubbo

近日 Dubbo 官方报告了一个 Dubbo 远程代码执行问题(CVE-2020-1948),该问题由 Provider 反序列化漏洞引起。根据介绍,攻击者可以使用无法识别的服务名称或方法名称,并带上一些恶意参数有效载荷发送 RPC 请求。当恶意参数反序列化后,将执行一些恶意代码。

受影响的版本:

  • 2.7.0 <= Dubbo Version <= 2.7.6

  • 2.6.0 <= Dubbo Version <= 2.6.7

  • 所有 2.5.x 版本(官方团队不再支持)

建议广大用户及时升级到2.7.7或更高版本,下载地址为:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7。

 

FastJson

近日,阿里云应急响应中心监测到fastjson爆发新的反序列化远程代码执行漏洞,黑客利用漏洞,可绕过autoType限制,直接远程执行任意命令攻击服务器,风险极大。

fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击。

受影响的版本:

  • fastjson <=1.2.68

  • fastjson sec版本 <= sec9

  • android版本不受此漏洞影响

升级到最新版本1.2.69或者更新的1.2.70版本。

flx_bj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dubbo源码分析 - 序列化与反序列化
赵小叔
07-28 2166
  概念: 序列化:把对象转换为字节序列的过程称为对象的序列化。  反序列化:把字节序列恢复为对象的过程称为对象的反序列化。   在Dubbo RPC中,同时支持多种序列化方式: (1)dubbo序列化,阿里尚不成熟的java序列化实现。 (2)hessian2序列化:hessian是一种跨语言的高效二进制的序列化方式,但这里实际不是原生的hessian2序列化,而是阿里修改过的hes...
CVE-2019-17564 Apache-Dubbo反序列化漏洞.md
04-12
CVE-2019-17564,Apache-Dubbo反序列化漏洞
java高效序列化_Dubbo中使用高效的Java序列化(Kryo和FST)
weixin_32310195的博客
02-19 319
完善中……TODO 生成可点击的目录目录序列化漫谈启用Kryo和FST注册被序列化类无参构造函数和Serializable接口序列化性能分析与测试测试环境测试脚本Dubbo RPC中不同序列化生成字节大小比较Dubbo RPC中不同序列化响应时间和吞吐量对比未来序列化漫谈dubbo RPC是dubbo体系中最核心的一种高性能、高吞吐量的远程调用方式,我喜欢称之为多路复用的TCP长连接调用,简单的说...
java代码审计之fastjson反序列化漏洞
最新发布
CheatMyself的博客
05-30 902
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。该产品主要提供了两个接口,JSON.toJSONString和JSON.parseObject/JSON.parse分别实现序列化和反序列化
dubbo fastJson
chitangya6507的博客
05-31 472
Dto创建的toString方法不继承Object的toString方法或者使用原生的复合对象的toString方法(其实也是最终使用Object的toString方法) 每一个dto创建一个默认的toString方法:(两种实现方案) 1、创建一个默认的BaseDto对象,在Ba...
Dubbo默认使用什么序列化框架?
CZ-001的博客
09-06 503
Dubbo默认使用的序列化框架是Hessian 2.0。Hessian是一种基于二进制的序列化协议,它具有简单、高效的特点,适用于网络传输和存储数据。Hessian在Dubbo中被广泛使用,因为它可以在不同的编程语言之间进行对象的序列化和反序列化。除了Hessian,Dubbo还支持其他的序列化框架,可以通过配置来选择使用特定的序列化框架。
架构改Dubbo后的序列化问题,JSONjavabean 转换问题,范型嵌套
Skiray的博客
10-27 556
Dubbo序列化的坑 起因:因devops用到一些org.gitlab4j.api.models的一些类,但是没有实现序列化接口,sdk也不能更改。sdk的类嵌套了很多层,也不能本地开放接口。 过程:暂时先转json字符串后web层转回java bean处理。选择了fastjson工具。 转换:JSON.toJSONString(); 转回:JSON.parseObject(xxString,xx.class); 问题:但是list范型转回的时候报错:java.lang.ClassCastExceptio
CVE-2019-17564 Apache Dubbo Http 反序列化漏洞深入分析 .pdf
09-05
一旦配置完成,启动Dubbo服务,攻击者就可以通过构造特定的POST请求,利用这个反序列化漏洞。 针对此类安全问题,企业应当重视安全测试和安全建设,特别是金融和网络信息安全领域。定期进行渗透测试,监控和修复...
dubbo-exp:Dubbo反序列化一键快速攻击测试工具,支持dubbo协议和http协议,支持hessian反序列化java原生反序列化
05-09
工具仅用于安全研究以及内部自查,禁止使用工具发起非法攻击,造成的后果使用者负责Dubbo反序列化测试工具使用帮助usage: java -jar exp.jar [OPTION]-h --help 帮助信息-l --list 输出所有gadget信息-g --gadget ...
Dubbo和微店的服务化历程分享.pdf
07-24
2018-05-12,dubbo meetup北京在车库咖啡举行,我作为企业用户在大会进行了演讲:《Dubbo和微店的服务化实践历程》 主要讲了公司用dubbo实施服务化过程中,遇到的一些问题和自研的相关组件
learnjavabug:Java安全相关的漏洞和技术demo,原生JavaFastjson、Jackson、Hessian2、XML反序列化漏洞利用和Spring、Dubbo、Shiro、CAS、Tomcat、RMI、Nexus等框架\中间件\功能的exploits以及Java Security Manager绕过、Dubbo-Hessian2安全加固等等实践代码
05-01
这是一个个人用于复现、公开一些感兴趣、或者影响稍大的漏洞的项目,没有多少技术含量,权当个人技术笔记。 fastjson 该模块主要记录一些fastjson的利用gadget,不过很多gadget并没有记录在案。 RCE相关 package:...
dubbo序列化
MW
01-08 338
序列化:把对象转换为字节序列的过程称为对象的序列化。 反序列化:把字节序列恢复为对象的过程称为对象的反序列化Dubbo 中的序列化 Dubbo RPC 是 Dubbo 体系中最核心的一种高性能、高吞吐量的远程调用方式,可以称之为多路复用的 TCP 长连接调用: 长连接:避免了每次调用新建 TCP 连接,提高了调用的响应速度 多路复用:单个 TCP 连接可交替传输多个请求和响应的消息,降低了连接...
干翻Dubbo系列第九篇:Dubbo体系中KRYO、FST、FASTJSON2序列化详解
热门推荐
七叔的博客
08-10 1万+
本文是干翻Dubbo系列文章中第九篇,详细介绍了Dubbo体系中KRYO、FST、FASTJSON2序列化手段,让大家使用Dubbo作为Rpc手段的时候,多几种序列化选择!
Dubbo序列化概述
中间件兴趣圈
08-10 3506
   Dubbo序列化支持java、compactedjava、nativejavafastjson、fst、hessian2、kryo,其中默认hessian2。其中java、compactedjava、nativejava属于原生java的序列化。整个Dubbo序列化的类设机机器优雅,职责单一,其整体类图如下:    主要分为三个维度进行组织:Serialization(序列化策略)、...
Dubbo 支持哪些通信协议?
学一次的博客
07-12 1062
dubbo协议 默认就是走dubbo协议的。 hessian序列化协议,单一长连接,TCP协议传输,NIO异步通信,适合大并发小数据量的服务调用,以及消费者远大于提供者,传输数据量很小(每次请求在100kb以内),但是并发量很高。 rmi协议 采用JDK标准的rmi协议实现,传输参数和返回参数对象需要实现Serializable接口,使用java标准序列化机制,使用阻塞式短连接,传输数据包大小混合,消费者和提供者个数差不多,可传文件,传输协议TCP。...
dubbo序列化源码分析1-序列化接口设计
chenchangqun11的专栏
08-14 331
分析 dubbo 序列化实现 选中几个协议分析 源码 必选FastJson, jdk hessian2, msgpack 主流 序列化协议性能对比 先找个简单的分析FastJsonSerialization dubbo FastJson序列化 public class FastJsonSerialization implements Serialization { @Override public byte getContentTypeId() { //获取协议ID ...
dubbo 报错
fwdwqdwq的博客
09-01 629
该错误是Dubbo 对象没有实列化。
dubbo报错总结
麦田里的码农
12-08 8169
  作为一个dubbo使用新手,有必要总结一些常见的dubbo问题,提升解决问题的套路。 1.dubbo consumer 调用provider报错(1)- No provider available 问题:No provider available from registry xxx from service xxx on consumer xxx may be providers disab...
(八)Dubbo常见的错误总结
HaC 的博客
12-29 4431
dubbo常见错误总结
Dubbo序列化协议5连问,你接得住不?.docx
11-03
Dubbo序列化协议5连问,你接得住不?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值