Apache Dubbo Hession反序列化漏洞(CVE-2022-39198)

最新推荐文章于 2023-11-16 17:47:31 发布
最新推荐文章于 2023-11-16 17:47:31 发布
阅读量2k 收藏 1
点赞数
文章标签: apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huofuman960209/article/details/127727653
版权

  Apache Dubbo组件存在Hession反序列化漏洞,该漏洞是由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,利用此漏洞可在目标系统上执行恶意代码,最终获取服务器最高权限,漏洞编号:CVE-2022-39198,漏洞威胁等级:高危。

一、 漏洞情况

Apache Dubbo是一款高性能、轻量级的开源服务框架,提供了RPC通信与微服务处理两大关键能力。
由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,成功利用此漏洞可在目标系统上执行恶意代码。攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行远程代码执行攻击,最终获取服务器最高权限。

二、 漏洞等级

高危

三、 漏洞影响范围

影响版本:
Apache Dubbo hessian-lite <= 3.2.12
Apache Dubbo 2.7.x <= 2.7.17
Apache Dubbo 3.0.x <= 3.0.11
Apache Dubbo 3.1.x <= 3.1.0

四、 漏洞修复建议

注意:安装补丁和加固前务必做好备份工作,切记!
目前该漏洞已经修复,受影响用户可以升级到Dubbo hessian-lite 版本 >=3.2.13;
或升级Apache Dubbo到以下版本:
Apache Dubbo 2.7.x >= 2.7.18
Apache Dubbo 3.0.x >= 3.0.12
Apache Dubbo 3.1.x >= 3.1.1

Apache Dubbo下载链接:https://github.com/apache/dubbo/tags
Dubbo hessian-lite下载链接:https://github.com/apache/dubbo-hessian-lite/releases

day day day ...
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
Hessian 反序列化RCE漏洞复现
0xSec
12-29 2079
Hessian是二进制的web service协议,官方对Java、Flash/Flex、Python、C++、.NET C#等多种语言都进行了实现。Hessian和Axis、XFire都能实现web service方式的远程方法调用,区别是Hessian是二进制协议,Axis、XFire则是SOAP协议,所以从性能上说Hessian远优于后两者,并且Hessian的JAVA使用方法非常简单。它使用Java语言接口定义了远程对象,集合了序列化/反序列化和RMI功能。Hessian是一个轻量级的RPC框架。
CVE-2019-17564 Apache-Dubbo反序列化漏洞.md
04-12
CVE-2019-17564,Apache-Dubbo反序列化漏洞
CVE-2022-39198 Apache Dubbo Hession Deserialization分析
include_voidmain的博客
12-29 847
我们跟进一下这种利用方式,我们这里选用的环境是单独的一个dubbo依赖的环境(2.7.16版本)沿用以前的思路,通过dubbo库依赖的fastjson库,进行任意getter方法的调用,进行调用上图中的getDefaultPrintService方法进行利用。这图是XString#equals方法中的代码,其中我们是通过HashMap反序列化的方法,进行元素之间的equals方法的调用,这里的obj2参数,只有是一个JSONObject对象,才会调用其toString方法。
漏洞通告】CVE-2022-39198 Apache Dubbo Hession反序列化漏洞
热爱学习,喜欢折腾!
10-19 2014
Apache Dubbo是一款高性能、轻量级的开源服务框架,提供了RPC通信与微服务处理两大关键能力。10月18日,Apache发布安全公告,修复了影响Apache Dubbo多个版本的一个反序列化漏洞CVE-2022-39198)。由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,成功利用此漏洞可在目标系统上执行恶意代码。
Java Hessian反序列化漏洞
Keepb1ue的博客
01-10 4052
Java Hessian反序列化漏洞复现
hessian序列化_Apache Dubbo 2.7.6反序列化入侵复现及分析
weixin_39524247的博客
01-10 448
转载:先知社区作者:tornado简介Dubbo从大的尺寸上将是RPC框架,负责封装RPC调用,支持很多RPC协议RPC协议包括了dubbo,rmi,hessian,webservice,http,redis,rest,thrift,memcached,jsonrpc等Java中的序列化有Java原生序列化,Hessian序列化,Json序列化,dubbo序列化图片来源:https:...
Apache Dubbo hessian-lite 远程代码执行漏洞
whoami
01-20 4565
0x1 漏洞背景 CVE: CVE-2021-43297 受影响的Apache Dubbo版本: Apache Dubbo 2.6.x < 2.6.12 Apache Dubbo 2.7.x < 2.7.15 Apache Dubbo 3.0.x < 3.0.5 简述:Apache Dubbo是一款微服务开发框架,它提供了RPC通信与微服务治理两大关键能力。该漏洞是由于在Dubbo的hessian-lite中存在反序列化漏洞,未经身份验证的攻击者可利用该漏洞在目标系统上远程
CVE-2019-17564 Apache Dubbo Http 反序列化漏洞深入分析 .pdf
09-05
CVE-2019-17564 Apache Dubbo Http 反序列化漏洞深入分析 业务安全 金融安全 网络信息安全 安全建设 渗透测试
Apache Dubbo远程代码执行漏洞(CVE-2021-43297)
10-25
Dubbo 升级到 2.6.12、2.7.15、3.0.5 及以上版本
dubbo-exp:Dubbo反序列化一键快速攻击测试工具,支持dubbo协议和http协议,支持hessian反序列化和java原生反序列化
05-09
工具仅用于安全研究以及内部自查,禁止使用工具发起非法攻击,造成的后果使用者负责Dubbo反序列化测试工具使用帮助usage: java -jar exp.jar [OPTION]-h --help 帮助信息-l --list 输出所有gadget信息-g --gadget ...
jmeter-plugins-dubbo-2.7.8-jar-with-dependencies.jar
06-22
jmeter的dubbo插件,jmeter-plugins-dubbo-2.7.8-jar-with-dependencies.jar,适用于JMeter5.4.1版本,将解压后的文件jmeter-plugins-dubbo-2.7.8-jar-with-dependencies放在Jmeter安装目录下的\lib\ext文件夹中,...
漏洞预警|Apache Dubbo再现反序列化漏洞,腾讯安全已支持全方位检测防护
wzl_540的专栏
03-15 1154
(2)若直接编译、使用jar包构建项目,可查看jar包版本判断是否可能受漏洞影响(jar包全名:dubbo-x.x.x.jar / dubbo-common-x.x.x.jar,其中dubbo / dubbo-common为包名,x.x.x为版本)。(1)若使用maven构建项目,可在pom.xml等文件中查看引用的maven包版本(maven groupId: org.apache.dubbo,artifactId: dubbo / dubbo-common)。
漏洞分析|Apache Dubbo反序列化漏洞(CVE-2023-23638)
最新发布
xuandaoren的博客
11-16 643
所以我们可以通过上面的 Field 赋值机制, 将 SerializeClassChecker 的 INSTANCE 属性更改为我们自定义的 SerializeClassChecker, 然后在这个自定义的 checker 中, 将 JdbcRowSetImpl 加到白名单里面, 或者将黑名单置空, 或者将 OPEN_CHECK_CLASS 更改为 false, 从而绕过这个检查机制。1、关闭对公网开放的Dubbo服务端端口,仅允许可信任的IP访问。回到 realize0 方法, 继续往下看。
Dubbo爆出严重漏洞!可导致网站被控制、数据泄露!附解决方案
xmt1139057136的专栏
02-16 1267
作者:业余草来源:https://www.xttblog.com/?p=4783近日检测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,360灵腾安全实验室判断...
关于Apache Dubbo反序列化漏洞CVE-2023-23638)的预警提示与对应的Zookeeper版本
u011236069的博客
06-27 1826
Apache官方发布安全公告,修复了Apache Dubbo中的一个反序列化漏洞CVE-2023-23638)。由于Apache Dubbo安全检查存在缺陷,导致可以绕过反序列化安全检查并执行反序列化攻击,成功利用该漏洞可在目标系统上执行任意代码。Apache Dubbo 2.7.x 版本:
Dubbo反序列化漏洞分析集合
AS011x的博客
09-09 3677
调用相应的反序列化函数对数据流进行反序列化操作。,如果不满足则直接抛出异常。若pojo为Map实例,则从pojo(也就是一开始的第三个参数)获取key为“class”的值,并通过反射得到class所对应的类type,再判断对象的类型进行下一步处理。在之前的分析中我们知道了这个方法是用来获取数据体中的一些信息用的,其中一种利用方式就是通过在读取version的时候,调用readUTF方法,跟进。主要是通过获取tag位,进行相应的处理,但是这里关键的就是,当这里不是一个String类型的时候,将会抛出异常。
Hessian反序列化漏洞学习记录
include_voidmain的博客
10-13 736
Hessian反序列化漏洞学习记录
Apache Dubbo反序列化漏洞复现分析
include_voidmain的博客
03-10 2961
Apache Dubbo反序列化漏洞复现分析
Apache Shiro 1.2.4反序列化漏洞CVE-2016-4437)
m0_61506558的博客
11-06 2484
关于shiro在2019年爆出来的漏洞,利用的条件相对来说比较苛刻,不仅要有一定的权限登入进去,进去之后密钥爆破也不一定可以成功,环境不好搭建,感兴趣的师傅可以看看,本篇文章介绍的是有关shiro反序列化漏洞,(一)基本介绍。
CVE-2022-39198
08-09
CVE-2022-39198是影响Apache Dubbo的一个反序列化漏洞。该漏洞存在于Dubbo hessian-lite 3.2.12及之前的版本中。攻击者可以利用这个漏洞在目标系统上执行恶意代码。具体利用方法是通过反序列化操作,触发漏洞函数,从而执行恶意代码。 Apache Dubbo是一款高性能、轻量级的开源服务框架,提供了RPC通信与微服务处理两大关键能力。10月18日,Apache发布安全公告,修复了影响Apache Dubbo多个版本的一个反序列化漏洞CVE-2022-39198)。由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,成功利用此漏洞可在目标系统上执行恶意代码。 0x02 影响范围。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

day day day ...

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值