【漏洞通告】CVE-2022-39198 Apache Dubbo Hession反序列化漏洞

最新推荐文章于 2023-04-02 17:11:30 发布
最新推荐文章于 2023-04-02 17:11:30 发布
阅读量2k 收藏
点赞数 1
分类专栏: 漏洞通告 文章标签: dubbo 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44281295/article/details/127407381
版权

目录

0x01 漏洞详情

0x02 影响范围

0x03 修复建议

0x04 参考链接

0x01 漏洞详情

        Apache Dubbo是一款高性能、轻量级的开源服务框架,提供了RPC通信与微服务处理两大关键能力。10月18日,Apache发布安全公告,修复了影响Apache Dubbo多个版本的一个反序列化漏洞(CVE-2022-39198)。由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,成功利用此漏洞可在目标系统上执行恶意代码。

0x02 影响范围

        Apache Dubbo 2.7.x版本:<= 2.7.17

        Apache Dubbo 3.0.x版本:<= 3.0.11

        Apache Dubbo 3.1.x版本:<= 3.1.0

0x03 修复建议 

        目前该漏洞已经修复,受影响用户可以升级到Dubbo hessian-lite 版本 >=3.2.13;或升级Apache Dubbo到以下版本:

        Apache Dubbo 2.7.x版本:>= 2.7.18

        Apache Dubbo 3.0.x版本:>= 3.0.12

        Apache Dubbo 3.1.x版本:>= 3.1.1

Apache Dubbo下载链接:

        https://github.com/apache/dubbo/tags

Dubbo hessian-lite下载链接:

        https://github.com/apache/dubbo-hessian-lite/releases

0x04 参考链接

【漏洞通告】Apache Dubbo Hession反序列化漏洞(CVE-2022-39198) (qq.com)icon-default.png?t=M85Bhttps://mp.weixin.qq.com/s?__biz=MzUxMDQzNTMyNg==&mid=2247501197&idx=2&sn=8c67a300440359cd313b5180a7afce7a&chksm=f9018f1cce76060a1074ac65eea382b088f36a5e160411903089390f4416c7bfff9ccccc76b4&scene=178&cur_album_id=1907628428967641089#rd

Evan Kang
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
CVE-2019-17564 Apache-Dubbo反序列化漏洞.md
04-12
CVE-2019-17564,Apache-Dubbo反序列化漏洞
安全反序列化_Apache Dubbo反序列化漏洞安全风险通告(CVE201917564)
weixin_39802132的博客
12-11 595
漏洞综述关于Apache DubboApache Dubbo 是一款高性能、轻量级的开源Java RPC框架,该框架在国内应用较为广泛,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。漏洞描述Apache Dubbo支持多种协议,官方推荐使用 Dubbo 协议,Apache Dubbo HTTP协议中存在反序列化漏洞(CVE-2019-17564...
CVE-2022-39198 Apache Dubbo Hession Deserialization分析
include_voidmain的博客
12-29 1002
我们跟进一下这种利用方式,我们这里选用的环境是单独的一个dubbo依赖的环境(2.7.16版本)沿用以前的思路,通过dubbo库依赖的fastjson库,进行任意getter方法的调用,进行调用上图中的getDefaultPrintService方法进行利用。这图是XString#equals方法中的代码,其中我们是通过HashMap反序列化的方法,进行元素之间的equals方法的调用,这里的obj2参数,只有是一个JSONObject对象,才会调用其toString方法。
Apache Dubbo Hession反序列化漏洞CVE-2022-39198
huofuman960209的博客
11-07 2146
Apache Dubbo组件存在Hession反序列化漏洞,该漏洞是由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,利用此漏洞可在目标系统上执行恶意代码,最终获取服务器最高权限,漏洞编号:CVE-2022-39198漏洞威胁等级:高危。
Apache Dubbo hessian-lite 远程代码执行漏洞
whoami
01-20 4637
0x1 漏洞背景 CVE: CVE-2021-43297 受影响的Apache Dubbo版本: Apache Dubbo 2.6.x < 2.6.12 Apache Dubbo 2.7.x < 2.7.15 Apache Dubbo 3.0.x < 3.0.5 简述:Apache Dubbo是一款微服务开发框架,它提供了RPC通信与微服务治理两大关键能力。该漏洞是由于在Dubbohessian-lite中存在反序列化漏洞,未经身份验证的攻击者可利用该漏洞在目标系统上远程
CVE-2020-1948 Apache dubbo远程命令执行漏洞
yyj1781572的博客
04-02 1357
通过该实验了解漏洞产生的原因,掌握基本的漏洞利用及使用方法,并能给出加固方案。
CVE-2022-33980 Apache Commons Configuration 远程命令执行漏洞分析
Jinmindong
01-31 719
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
CVE-2022-33891POC Apache Spark 命令注入(CVE-2022-33891)POC
08-10
Apache Spark 命令注入(CVE-2022-33891)POC CVE-2022-33891 影响版本 Apache spark version 3.1.1<Apache spark 版本 Apache Spark version>= 3.3.0 修复方案 1.建议升级到安全版本,参考官网链接: ...
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
05-05
XStream拒绝服务漏洞(CVE-2022-41966)响应通告
CVE-2019-17564 Apache Dubbo Http 反序列化漏洞深入分析 .pdf
09-05
在2019年,Apache Dubbo暴露了一个严重的安全漏洞,即CVE-2019-17564,这是一个Http反序列化漏洞。该漏洞发生在启用HTTP远程处理的Dubbo应用程序中,攻击者可以通过发送包含恶意Java对象的POST请求,导致不安全的反...
Apache Dubbo 高危漏洞
zb_3Dmax的博客
09-06 772
具体是因为 Apache Dubbo hessian-lite 3.2.11 及之前的版本存在反序列化漏洞,而这个 hessina-lite 恰巧就是 Dubbo 默认的序列化方法。其实这个漏洞爆出来已经很多天了,影响面没 Log4j2 大,所以没那么“火”,不过也是个高危漏洞。今天又看到了个 Apache Dubbo 的高危漏洞通告,好家伙一看这版本,我们的应用有漏洞…所以用 Dubbo 的同学快去排查下自己的应用,看看是否受到影响。又是一个可以远程代码执行漏洞漏洞的类型是因为反序列化的问题。
Apache Dubbo 被曝出“高危”远程代码执行漏洞
Java后端技术
06-26 807
往期热门文章:1、《往期精选优秀博文都在这里了!》2、自从用完Gradle后,有点嫌弃Maven了!速度贼快!3、老大吩咐的可重入分布式锁,终于完美的实现了~4、多线程到底该设置多少个线...
CVE-2022-33891漏洞原理、环境搭建和复现
qq_44767905的博客
07-25 8736
CVE-2022-33891漏洞原理、环境搭建和复现
Cobalt Strike <=4.7 xss复现和NTLM V2窃取(没有RCE)
crowsec
09-24 3801
CVE-2022-39197这个xss的rce,我只复现了xss和简单版本的NTLM哈希窃取。。。 从前几天开始,网上开始讨论关于cobalt strike的CVE-2022-39197漏洞,据说该漏洞可以直接接管服务端的权限。
『Java安全反序列化-浅析Hessian反序列化POP链
Ho1aAs‘s Blog
07-22 1126
# 反序列化漏洞原理 在反序列化时,会通过标志位判断对象的类型,然后调用对应类的反序列化器 对应方法在`SerializerFactory.loadDeserializer()` 具体会**调用到Map的put方法**写入键值对 **对于Map类:会调用反序列化器的readMap方法进行反序列化操作**,默认反序列化出来的是HashMap类 而**HashMap的put方法就会调用键自身的hashCode方法来判断是否有重复**,进而就造成了漏洞风险,这里不再赘述 **对于TreeMap还有equals.
《Vulhub-Aapche Dubbo Java反序列化漏洞(CVE-2019-17564)》
weixin_47118413的博客
12-29 834
在之前我想起在Vulhub漏洞平台复现过Aapche Dubbo Java反序列化漏洞(CVE-2019-17564),虽然不是最新的(CVE-2022-39198)漏洞,但也想把(CVE-2019-17564)分享一下。
CVE-2021-44228 Apache Log4j2 远程代码执行漏洞复现
热爱学习,喜欢折腾!
09-03 4222
Apache Log4j2 是 Apache 软件基金会下的一个开源的基于 Java 的日志记录工具。Log4j2 是一个 Log4j 1.x 的重写,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于其优异的性能而被广泛的应用于各种常见的 Web 服务中。apache log4j通过定义每一条日志信息的级别能够更加细致地控制日志生成地过程,受影响地版本中纯在JNDI注入漏洞,导致日志在记录用户输入地数据时,触发了注入漏洞,该漏洞可导致远程代码执行,且利用条件低,影响范围广。
CVE-2022-39198
最新发布
08-09
CVE-2022-39198是影响Apache Dubbo的一个反序列化漏洞。该漏洞存在于Dubbo hessian-lite 3.2.12及之前的版本中。攻击者可以利用这个漏洞在目标系统上执行恶意代码。具体利用方法是通过反序列化操作,触发漏洞函数,从而执行恶意代码Apache Dubbo是一款高性能、轻量级的开源服务框架,提供了RPC通信与微服务处理两大关键能力。10月18日,Apache发布安全公告,修复了影响Apache Dubbo多个版本的一个反序列化漏洞CVE-2022-39198)。由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,成功利用此漏洞可在目标系统上执行恶意代码。 0x02 影响范围。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Evan Kang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值