Apache Dubbo 反序列化漏洞通告及解决方案

最新推荐文章于 2024-05-24 17:17:52 发布
最新推荐文章于 2024-05-24 17:17:52 发布
阅读量4.2k 收藏 3
点赞数
原文链接:https://www.anquanke.com/post/id/198747
版权

点击上方“服务端思维”,选择“设为星标”

回复”669“获取独家整理的精选资料集

回复”加群“加入全国服务端高端社群「后端圈」  

作者 | 安全客

出品 | www.anquanke.com/post/id/198747

近日检测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,360灵腾安全实验室判断漏洞等级为高,利用难度低,威胁程度高,影响面大。建议使用用户及时安装最新补丁,以免遭受黑客攻击。

0x00 漏洞概述

Apche Dubbo是一款高性能、轻量级的开源Java RPC框架。它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡以及服务自动注册和发现。

Apache Dubbo支持多种协议,当用户选择http协议进行通信时,Apache Dubbo 在接受远程调用的POST请求的时候会执行一个反序列化的操作,当项目包中存在可用的 gadgets时,由于安全校验不当会导致反序列化执行任意代码。

0x01 漏洞详情

漏洞分析,开始跟踪

请求传入 org.apache.dubbo.rpc.protocol.http.HttpProtocol中的 handle

通过进一步跟踪发现其传入 org.springframework.remoting.httpinvoker.HttpInvokerServiceExporterreadRemoteInvocation

org.springframework.remoting.rmi.RemoteInvocationSerializingExporter中,报文中post data部分为ois,全程并没有做任何安全过滤和检查,直接进行 readObject方法

最终导致命令执行

0x02 影响版本

2.7.0 <= Apache Dubbo <= 2.7.4

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo = 2.5.x

0x03 漏洞检测

仅影响在漏洞版本内启用http协议的用户:<dubbo:protocolname=“http”/>

0x03 处置建议

1、 建议用户升级到2.7.5以上:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5

2、升级方法 Maven dependency

    <properties>
        <dubbo.version>2.7.5</dubbo.version>
    </properties>
    <dependencies>
        <dependency>
          <groupId>org.apache.dubbo</groupId>
            <artifactId>dubbo</artifactId>
          <version>${dubbo.version}</version>
        </dependency>
        <dependency>
            <groupId>org.apache.dubbo</groupId>
          <artifactId>dubbo-dependencies-zookeeper</artifactId>
            <version>${dubbo.version}</version>
          <type>pom</type>
        </dependency>
    </dependencies>

详细升级过程可参考官方的文档:https://github.com/apache/dubb

— 新书出版 —
新书出版
→
— 本文结束 —● 漫谈设计模式在 Spring 框架中的良好实践● 颠覆微服务认知:深入思考微服务的七个主流观点
● 人人都是 API 设计者● 一文讲透微服务下如何保证事务的一致性
● 要黑盒测试微服务内部服务间调用,我该如何实现?


关注我,回复 「加群」 加入各种主题讨论群。

对「服务端思维」有期待,请在文末点个在看喜欢这篇文章,欢迎转发、分享朋友圈
在看点这里
LiangGzone
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2019-17564 Apache-Dubbo反序列化漏洞.md
04-12
CVE-2019-17564,Apache-Dubbo反序列化漏洞
漏洞分析|Apache Dubbo反序列化漏洞(CVE-2023-23638)
xuandaoren的博客
11-16 838
所以我们可以通过上面的 Field 赋值机制, 将 SerializeClassChecker 的 INSTANCE 属性更改为我们自定义的 SerializeClassChecker, 然后在这个自定义的 checker 中, 将 JdbcRowSetImpl 加到白名单里面, 或者将黑名单置空, 或者将 OPEN_CHECK_CLASS 更改为 false, 从而绕过这个检查机制。1、关闭对公网开放的Dubbo服务端端口,仅允许可信任的IP访问。回到 realize0 方法, 继续往下看。
Apache Dubbo 存在反序列化漏洞(CVE-2023-23638)
murphysec的博客
03-09 4380
Apache Dubbo 是一款轻量级 Java RPC 框架 该项目受影响版本存在反序列化漏洞,由于Dubbo在序列化时检查不够全面,当攻击者可访问到dubbo服务时,可通过构造恶意请求绕过检查触发反序列化,执行恶意代码
Apache Dubbo反序列化漏洞
最新发布
YJ_12340的博客
05-24 826
Dubbo是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的RPC实现服务的输出和输入功能,可以和Spring框架无缝集成。2020年06月23日, Apache Dubbo 官方发布了Apache Dubbo 远程代码执行的风险通告,该漏洞编号为,漏洞等级:高危。Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
Apache Dubbo反序列化漏洞复现分析
include_voidmain的博客
03-10 2981
Apache Dubbo反序列化漏洞复现分析
漏洞预警】Apache Dubbo反序列化漏洞及修复方案
讯开技术孵化器博客
07-01 2634
漏洞描述 Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。Apache Dubbo于2020年6月23日披露在Dubbo Provider中存在一个反序列化远程代码执行漏洞(CVE-2020-1948),官方发布2.7.7版本修复漏洞,但近日该漏洞补丁被绕过,经阿里云工程师测试绕过有效,且目前官方还未发布新版本,漏洞属0day级,风险极大。阿里云应急响应中心提醒Apache Dubbo用户尽快采取安全措施阻止漏洞攻击。 2020年6月29日,阿里云应急响应中心监测到Apache Du
Dubbo反序列化漏洞分析集合
AS011x的博客
09-09 3730
调用相应的反序列化函数对数据流进行反序列化操作。,如果不满足则直接抛出异常。若pojo为Map实例,则从pojo(也就是一开始的第三个参数)获取key为“class”的值,并通过反射得到class所对应的类type,再判断对象的类型进行下一步处理。在之前的分析中我们知道了这个方法是用来获取数据体中的一些信息用的,其中一种利用方式就是通过在读取version的时候,调用readUTF方法,跟进。主要是通过获取tag位,进行相应的处理,但是这里关键的就是,当这里不是一个String类型的时候,将会抛出异常。
CVE-2019-17564 Apache Dubbo Http 反序列化漏洞深入分析 .pdf
09-05
在2019年,Apache Dubbo暴露了一个严重的安全漏洞,即CVE-2019-17564,这是一个Http反序列化漏洞。该漏洞发生在启用HTTP远程处理的Dubbo应用程序中,攻击者可以通过发送包含恶意Java对象的POST请求,导致不安全的反...
dubbo-exp:Dubbo反序列化一键快速攻击测试工具,支持dubbo协议和http协议,支持hessian反序列化和java原生反序列化
05-09
工具仅用于安全研究以及内部自查,禁止使用工具发起非法攻击,造成的后果使用者负责Dubbo反序列化测试工具使用帮助usage: java -jar exp.jar [OPTION]-h --help 帮助信息-l --list 输出所有gadget信息-g --gadget ...
Apache Dubbo远程代码执行漏洞(CVE-2021-43297)
10-25
Dubbo 升级到 2.6.12、2.7.15、3.0.5 及以上版本
Apache Dubbo
08-18
Apache DubboSpring Boot项目使创建[Spring Boot]变得容易(https://github.com/spring-projects/spring-boot/)使用Dubbo作为RPC框架的应用程序。
[CVE-2020-1948] Apache Dubbo 反序列化漏洞分析
小王的储物间
12-13 579
Dubbo 是一款高性能、轻量级的开源 Java RPC 框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
Apache Dubbo Hession反序列化漏洞(CVE-2022-39198)
huofuman960209的博客
11-07 2128
Apache Dubbo组件存在Hession反序列化漏洞,该漏洞是由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,利用此漏洞可在目标系统上执行恶意代码,最终获取服务器最高权限,漏洞编号:CVE-2022-39198,漏洞威胁等级:高危。
CVE-2020-1948 Apache dubbo远程命令执行漏洞
yyj1781572的博客
04-02 1313
通过该实验了解漏洞产生的原因,掌握基本的漏洞利用及使用方法,并能给出加固方案。
漏洞预警|Apache Dubbo再现反序列化漏洞,腾讯安全已支持全方位检测防护
wzl_540的专栏
03-15 1213
(2)若直接编译、使用jar包构建项目,可查看jar包版本判断是否可能受漏洞影响(jar包全名:dubbo-x.x.x.jar / dubbo-common-x.x.x.jar,其中dubbo / dubbo-common为包名,x.x.x为版本)。(1)若使用maven构建项目,可在pom.xml等文件中查看引用的maven包版本(maven groupId: org.apache.dubbo,artifactId: dubbo / dubbo-common)。
生产dubbo漏洞问题修复
weixin_44939862的博客
02-01 1326
dubbo漏洞修复
关于Apache Dubbo反序列化漏洞(CVE-2023-23638)的预警提示与对应的Zookeeper版本
u011236069的博客
06-27 1870
Apache官方发布安全公告,修复了Apache Dubbo中的一个反序列化漏洞(CVE-2023-23638)。由于Apache Dubbo安全检查存在缺陷,导致可以绕过反序列化安全检查并执行反序列化攻击,成功利用该漏洞可在目标系统上执行任意代码。Apache Dubbo 2.7.x 版本:
有关Apache dubbo反序列化漏洞的复现及思考
码农小麦
06-07 1008
有关Apache dubbo反序列化漏洞(CVE-2019-17564)网上有许多漏洞复现文章,官方漏洞描述也说的很清楚,开启了http remoting协议时,存在反序列化漏洞。本身有关java的漏洞反序列化占了很大一部分。大概流程就是应用程序在反序列化时执行了恶意代码导致RCE(remote command/code execute)。 先来看一个自定义对象反序列化引发RCE的示例: public class SerialDemo { public static void main(String[
Apache Dubbo 3.0 教程.pdf
02-14
本教程是关于Apache Dubbo 3.0的详尽指南。Apache Dubbo是一种高性能、轻量级的开源RPC(Remote Procedure Call,远程过程调用)框架,用于构建分布式服务架构。本教程将深入介绍Dubbo 3.0的各项特性和概念,旨在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值