Dubbo 爆出严重漏洞! 可远程执行恶意代码!(附解决方案)

最新推荐文章于 2024-05-07 18:38:37 发布
最新推荐文章于 2024-05-07 18:38:37 发布
阅读量2.4k 收藏 2
点赞数

链接:https | www.anquanke.com/post/id/198747

近日检测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,360灵腾安全实验室判断漏洞等级为高,利用难度低,威胁程度高,影响面大。建议使用用户及时安装最新补丁,以免遭受黑客攻击。

0x00 漏洞概述

Apche Dubbo是一款高性能、轻量级的开源Java RPC框架。它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡以及服务自动注册和发现。

Apache Dubbo支持多种协议,当用户选择http协议进行通信时,Apache Dubbo 在接受远程调用的POST请求的时候会执行一个反序列化的操作,当项目包中存在可用的 gadgets时,由于安全校验不当会导致反序列化执行任意代码。

0x01 漏洞详情

漏洞分析,开始跟踪

请求传入 org.apache.dubbo.rpc.protocol.http.HttpProtocol中的 handle

通过进一步跟踪发现其传入 org.springframework.remoting.httpinvoker.HttpInvokerServiceExporterreadRemoteInvocation

org.springframework.remoting.rmi.RemoteInvocationSerializingExporter中,报文中post data部分为ois,全程并没有做任何安全过滤和检查,直接进行 readObject方法

最终导致命令执行

0x02 影响版本

2.7.0 <= Apache Dubbo <= 2.7.4

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo = 2.5.x

0x03 漏洞检测

仅影响在漏洞版本内启用http协议的用户:<dubbo:protocolname=“http”/>

0x03 处置建议

1、 建议用户升级到2.7.5以上:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5

2、升级方法 Maven dependency

<properties>
<dubbo.version>2.7.5</dubbo.version>
</properties>

<dependencies>
<dependency>
<groupId>org.apache.dubbo</groupId>
<artifactId>dubbo</artifactId>
<version>${dubbo.version}</version>
</dependency>

<dependency>
<groupId>org.apache.dubbo</groupId>
<artifactId>dubbo-dependencies-zookeeper</artifactId>
<version>${dubbo.version}</version>
<type>pom</type>
</dependency>

</dependencies>

详细升级过程可参考官方的文档:https://github.com/apache/dubbo

 

-END-

如果看到这里,说明你喜欢这篇文章,请转发、点赞。微信搜索「web_resource」,欢迎添加小编微信「focusoncode」,每日朋友圈更新一篇高质量技术博文(无广告)。

扫描二维码添加小编↓

1. 揭秘阿里、腾讯、字节跳动在家办公的区别

2. 前后端分离开发,RESTful 接口应该这样设计

3. Spring Boot + Vue 如此强大?

4. 如何获取靠谱的新型冠状病毒疫情

公众号:Java后端
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 自动更新_JAVA自动更新程序
weixin_31043675的博客
02-12 1347
最近由于一个工程需要做应用程序启动时,自动更新的项目在GOOGLE上找了半天也没见到什么比较好的办法自己动手写了一个通过版本号检查网络上是不是存在新的更新文件,并自动通过HTTP下载文件的程序希望对正在找此类程序的朋友有帮助本地文件需要一个ver.txt 此文件内容为本地软件版本号网络上我直接在一个页面上打印出网络存在的版本号例如,这个例子里,我在 http://XXX.XXX.XXX/Auto...
Apache Dubbo远程代码执行漏洞(CVE-2021-43297)
10-25
Dubbo 升级到 2.6.12、2.7.15、3.0.5 及以上版本
详解如何热更新线上的Java服务器代码
08-19
主要介绍了详解如何热更新线上的Java服务器代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
漫画:Java如何实现热更新?
磊哥聊Java
06-19 4757
Arthas(阿尔萨斯)是 Alibaba 开源的一款 Java 诊断工具,使用它我们可以监控和排查 Java 程序,然而它还提供了非常实用的 Java 热更新功能。所谓的 Java 热...
java代码_更新线上的 Java 服务器代码
weixin_39769187的博客
11-14 237
阅读本文约需要5分钟大家好,我是你们的导师,我每天都会在这里给大家分享一些干货内容(当然了,周末也要允许老师休息一下哈)。上次老师跟大家分享了下SpringBoot 几个优质的开源项目的相关知识,今天跟大家分享更新线上的 Java 服务器代码的知识。1更新线上的 Java 服务器代码一、前言1、热更新代码的场景(1)当线上服务器出现问题时,有些时候现有的手段不足以发现问题所在,...
java类重载,可以用于热更新
03-15
这个是用来java中类的重载的,可以拟补java作为静态语言的一些问题
Dubbo无法访问远程Zookeeper已注册服务的问题解决方案
08-26
Dubbo无法访问远程Zookeeper已注册服务的问题解决方案 在使用Dubbo框架时,可能会遇到无法访问远程Zookeeper已注册服务的问题。今天,我们将分享一篇关于Dubbo无法访问远程Zookeeper已注册服务的问题解决方案。 ...
使用Maven构建Dubbo服务的可执行jar包_源码.zip
11-04
在本项目中,我们主要探讨如何使用Maven来构建基于Dubbo的服务化工程,并将其打包成可执行的jar包。这个过程涉及到多个关键步骤和技术点,包括Dubbo服务化的概念、Dubbo服务化改造的策略以及Maven工程的管理。 首先...
SpringBoot2.0 整合 Dubbo框架实现RPC服务远程调用方法
08-25
SpringBoot2.0 整合 Dubbo 框架实现 RPC 服务远程调用方法 本文主要介绍了 SpringBoot2.0 整合 Dubbo 框架实现 RPC 服务远程调用方法的详细步骤和配置。在本文中,我们将详细介绍 Dubbo 框架的简介、核心角色说明、...
dubbo分布式架构可运行代码demo
06-15
通过这个"Dubbo入门测试代码可运行"的Demo,你可以逐步了解和掌握Dubbo的基本概念、配置、运行流程,为深入学习和实践Dubbo分布式架构打下坚实的基础。在实践中,可以根据自己的需求调整配置,探索更多高级特性,...
热更新部署代码jar包
11-03
热更新示例可以便于服务器端进行热部署 !图表设计实际上就是数据可视化设计,美观的图表设计可以让数据分析变得轻松、流畅、并且易读,将更有助于提高用户的工作效率,降低用户的工作负担。RDP报表工具不仅具有经典美观的图表展现,而且可以提供丰富的图表样式,基本涵盖Excel中的所有图表样式,包括:柱形图、折线图、饼图和圆环图、圆环图、条形图、面积图、XY(散点)图和气泡图、气泡图、股价图、雷达图、树状图、旭日图、直方图、瀑布图、漏斗图以及组合图。为了更进一步地满足用户的需求,RDP报表工具同时也致力于呈现大型化、高清晰化、超高分辨率的图形展示,RDP大屏幕数据展示以直观、多维、实时、动态、交互、联动的视觉冲击力带领用户领略数据可视化的独特魅力!
基于SpringCloud Alibaba Dubbo解决方案的新闻社区系统.zip
08-20
【标题】"基于SpringCloud Alibaba Dubbo解决方案的新闻社区系统"是将SpringBoot、Dubbo和MySQL集成构建的新闻社区应用。这个系统充分利用了微服务架构的优势,通过Dubbo实现服务化,SpringBoot简化了应用的开发和...
Dubbo和Zookeeper的关系(代码对比).txt
08-21
Dubbo是一个高性能、轻量级的RPC框架,用于构建分布式应用程序。它提供了三个关键功能:面向接口远程方法调用、容错和负载均衡。Dubbo通过在Zookeeper中注册服务地址和相关信息来实现服务的发现和管理。 ...
dubbo示例代码dubbo-sample
08-05
Dubbo 示例代码详解】 Dubbo 是阿里巴巴开源的一款高性能、轻量级的Java服务治理框架,它主要提供了RPC(远程过程调用)服务,并且包含了服务注册与发现、负载均衡、容错处理、监控等全面的服务治理功能。本示例...
springboot整合Dubbo框架,实现RPC服务远程调用
最新发布
06-24
核心角色说明 Provider 暴露服务的服务提供方 Consumer 调用远程服务的服务消费方(负载均衡) ...Monitor 服务消费者和提供者在...dubbo-common:公共代码块,Dubbo接口,实体类 3、核心配置 提供方配置 server: tomc
程序员,你得选准跑路的时间!
m0_37586850的博客
03-31 188
「 更多干货,更多收获」 只有程序员才能看得懂 如何降低程序员的工资? 【回顾】如何搭建一套个性化推荐系统推荐系统工程师技能树 【电子书分享】美团机器学习实践.pdf 【白岩...
Dubbo曝反序列化漏洞,网易轻舟提供全方位解决方案
网易数帆社区博客
02-18 2452
2020年2月13日,Apache Dubbo官方发布了一条反序列化漏洞漏洞编号:CVE-2019-17564)的通告,漏洞等级中危。轻舟微服务虽然支持Apache Dubbo,但由于在架构设计上的优化,可保证用户不会受此次漏洞影响。 漏洞原理及影响范围 Apache Dubbo支持多种通信协议,官方默认为Dubbo协议,当用户选择HTTP协议进行通信时,攻击者可以利用该漏洞在目标网站上远程...
Java热更新原理与代码实现
Belove1ong的博客
05-07 1446
热更新指的是项目应用在运行的过程中,修改后的代码文件无需进行应用重启就能够被JVM加载并使用。该方式能够提高开发,减少项目频繁的重启。使用IDEA的可以使用插件实现更加完善的项目热更新。热更新的实现主要是依赖加载需要进行热更新的类(加载的是.class文件),接着只需在使用该类的时候,用自定义的类加载器加载指定class文件,最后使用反射调用对应的方法。当我们修改文件后,只需要重新编译该文件生成新的class文件,接着就会被自定义类加载器加载使用,实现文件的热更新。流程如下图所示: 需要定义一个自定义的类
Dubbo漏洞
公众号shadow sock7
12-25 2252
Dubbo的反序列化漏洞比较: [CVE-2019-17564] 当用户选择http协议进行通信时,Apache Dubbo 将接受来自消费者远程调用的POST请求并执行一个反序列化的操作。由于此步骤没有任何安全校验,因此可以造成反序列化执行任意代码。 [CVE-2020-1948] 默认反序列化方式存在代码执行漏洞,当 Dubbo 服务端暴露时(默认端口:20880),攻击者可以发送未经验证的服务名或方法名的RPC请求,同时配合加恶意的参数负载。当恶意参数被反序列化时,它将执行恶意代码。 参考:ht
揭秘Dubbo:高效RPC与服务治理的透明解决方案
Dubbo的设计目标是提供高性能、透明化和SOA(面向服务架构)服务治理的RPC(远程过程调用)解决方案。它简化了服务间的交互,使得服务的扩展和管理变得更加高效。 **Dubbo的基本功能** 1. **透明化的远程方法调用*...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值