注意,Dubbo 存在高危反序列化漏洞!

最新推荐文章于 2023-11-16 17:47:31 发布
最新推荐文章于 2023-11-16 17:47:31 发布
阅读量662 收藏
点赞数
原文链接:https://www.yuque.com/docs/share/c326e1ed-2f6e-4f7e-bdf8-0b8f53ad8620?#
版权

精彩推荐

一百期Java面试题汇总

SpringBoot内容聚合

IntelliJ IDEA内容聚合

Mybatis内容聚合

以下内容转载自安全客,原文链接:https://www.anquanke.com/post/id/209102

0x01 漏洞背景

2020年06月23日, 360CERT监测发现 Apache Dubbo 官方 发布了 Apache Dubbo 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-1948,漏洞等级:高危。

Apache Dubbo 是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。

Apache Dubbo Provider 存在 反序列化漏洞,攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。

该漏洞的相关技术细节已公开。

对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。 

0x02 风险等级

360CERT对该漏洞的评定结果如下:

  • 威胁等级:高危

  • 影响面:广泛

0x03 漏洞详情 

Apache Dubbo Provider 存在 反序列化漏洞,攻击者可以通过RPC请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。 

0x04 影响版本

  • Dubbo 2.7.0 – 2.7.6

  • Dubbo 2.6.0 – 2.6.7

  • Dubbo 2.5.x (官方不再维护)

0x05 修复建议

通用修补建议:

建议广大用户及时升级到2.7.7或更高版本,下载地址为:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7。

0x06 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现Dubbo在国内均有广泛使用,具体分布如下图所示。

 

0x07 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类漏洞进行监测,请用户联系相关产品区域负责人获取对应产品。 

0x08 时间线

2020-06-22 Apache Dubbo 官方发布通告

2020-06-23 360CERT发布预警

END

我知道你 “在看”
Java知音_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[Timeline Sec] - CVE-2020-1948:Dubbo Provider默认反序列化复现1
08-03
声明:请勿用作违法用途,否则后果自负0x01 简介Dubbo 是 阿 里 巴 巴 公 司 开 源 的 一 个 高 性 能 优 秀 的 服 务 框 架 , 使 得
CVE-2020-1948 Apache dubbo远程命令执行漏洞
yyj1781572的博客
04-02 1218
通过该实验了解漏洞产生的原因,掌握基本的漏洞利用及使用方法,并能给出加固方案。
Dubbo反序列化漏洞分析集合
AS011x的博客
09-09 3681
调用相应的反序列化函数对数据流进行反序列化操作。,如果不满足则直接抛出异常。若pojo为Map实例,则从pojo(也就是一开始的第三个参数)获取key为“class”的值,并通过反射得到class所对应的类type,再判断对象的类型进行下一步处理。在之前的分析中我们知道了这个方法是用来获取数据体中的一些信息用的,其中一种利用方式就是通过在读取version的时候,调用readUTF方法,跟进。主要是通过获取tag位,进行相应的处理,但是这里关键的就是,当这里不是一个String类型的时候,将会抛出异常。
Apache Dubbo 反序列化漏洞(CVE-2020-1948)
m0_46689007的博客
11-29 647
使用marshalsec开启ldap时,如果ldap服务和http服务上有日志,但时恶意命令没有执行,可以将"http://192.168.146.128#exp "改为"http://192.168.146.128/#exp"docker环境执行命令可能需要编码,如果ldap服务和http服务上有日志,但时恶意命令没有执行,将命令编码。看到ldap服务被访问,重定向到我们的http服务上的exp.class类。这一段是被攻击机访问攻击机的http服务上的恶意类exp.class。
漏洞分析|Apache Dubbo反序列化漏洞(CVE-2023-23638)
最新发布
xuandaoren的博客
11-16 676
所以我们可以通过上面的 Field 赋值机制, 将 SerializeClassChecker 的 INSTANCE 属性更改为我们自定义的 SerializeClassChecker, 然后在这个自定义的 checker 中, 将 JdbcRowSetImpl 加到白名单里面, 或者将黑名单置空, 或者将 OPEN_CHECK_CLASS 更改为 false, 从而绕过这个检查机制。1、关闭对公网开放的Dubbo服务端端口,仅允许可信任的IP访问。回到 realize0 方法, 继续往下看。
Apache Dubbo 反序列化-(CVE-2020-1948)
tamchikit的博客
01-04 355
Apache Dubbo 反序列化-(CVE-2020-1948)
dubbo-exp:Dubbo反序列化一键快速攻击测试工具,支持dubbo协议和http协议,支持hessian反序列化和java原生反序列化
05-09
a --args gadget入参,多个参数使用多次该命令传入,例-a -a Calc-p --protocol [dubbo|http] 通讯协议名称,默认缺省dubbo-s --serialization [hessian|java] 序列化类型,默认缺省hessian-t --target 目标,例:...
Dubbo 序列化协议 5 连问,你接得住不.PDF
06-05
默认就是⾛ dubbo 协议,单⼀⻓连接,进⾏的是 NIO 异步通信,基于 hessian 作为序列化协议。使⽤的场景是:传输数据量⼩ (每次请求在 100kb 以内),但是并发量很⾼。 为了要⽀持⾼并发场景,⼀般是服务提供者就⼏...
dubbo-serialization-avro:适用于avro的dubbo序列化扩展
05-01
双重序列化-avro 适用于dubbo的avro序列化工具。1.从src编译我们使用maven来构建和管理依赖项。 下载src git clone https://github.com/dubbo/dubbo-serialization-avro.git 从src构建,然后安装到本地maven存储库。...
Dubbo和微店的服务化历程分享.pdf
07-24
2018-05-12,dubbo meetup北京在车库咖啡举行,我作为企业用户在大会进行了演讲:《Dubbo和微店的服务化实践历程》 主要讲了公司用dubbo实施服务化过程中,遇到的一些问题和自研的相关组件
Apache Dubbo CVE-2020-1948 反序列化漏洞利用
weixin_46137328的博客
07-08 1977
0x00 漏洞背景2020年06月23日, Apache Dubbo 官方发布了Apache Dubbo 远程代码执行的风险通告,该漏洞编号为CVE-2020-1948,漏洞等级:高危。...
关于Apache Dubbo反序列化漏洞(CVE-2023-23638)的预警提示与对应的Zookeeper版本
u011236069的博客
06-27 1830
Apache官方发布安全公告,修复了Apache Dubbo中的一个反序列化漏洞(CVE-2023-23638)。由于Apache Dubbo安全检查存在缺陷,导致可以绕过反序列化安全检查并执行反序列化攻击,成功利用该漏洞可在目标系统上执行任意代码。Apache Dubbo 2.7.x 版本:
漏洞预警|Apache Dubbo再现反序列化漏洞,腾讯安全已支持全方位检测防护
wzl_540的专栏
03-15 1156
(2)若直接编译、使用jar包构建项目,可查看jar包版本判断是否可能受漏洞影响(jar包全名:dubbo-x.x.x.jar / dubbo-common-x.x.x.jar,其中dubbo / dubbo-common为包名,x.x.x为版本)。(1)若使用maven构建项目,可在pom.xml等文件中查看引用的maven包版本(maven groupId: org.apache.dubbo,artifactId: dubbo / dubbo-common)。
生产dubbo漏洞问题修复
weixin_44939862的博客
02-01 970
dubbo漏洞修复
[CVE-2020-1948] Apache Dubbo 反序列化漏洞分析
阿道夫的博客
12-17 498
Dubbo 是一款高性能、轻量级的开源 Java RPC 框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
漏洞预警|Apache Dubbo 存在反序列化漏洞
LJQClqjc的博客
03-09 701
棱镜七彩安全预警
Apache Dubbo 存在反序列化漏洞(CVE-2023-23638)
murphysec的博客
03-09 4302
Apache Dubbo 是一款轻量级 Java RPC 框架 该项目受影响版本存在反序列化漏洞,由于Dubbo在序列化时检查不够全面,当攻击者可访问到dubbo服务时,可通过构造恶意请求绕过检查触发反序列化,执行恶意代码
Apache Dubbo反序列化漏洞复现分析
include_voidmain的博客
03-10 2962
Apache Dubbo反序列化漏洞复现分析
反序列化漏洞攻击原理(Dubbo反序列化漏洞剖析)
热门推荐
跳小闹成长记
02-22 1万+
目录 一、前言 二、序列化与反序列化简介 三、反序列化怎样才会被利用? 1、说明 2、关键类说明-Transformer 3、关键类说明-TransformedMap 4、关键类说明-AnnotationInvocationHandler 5、攻击原理 6、攻击代码简介 四、Dubbo反序列化漏洞剖析 1、Dubbo漏洞简介 2、漏洞复现步骤 3、如何解决漏洞 五、更...
dubbo反序列化导致Timestamp丢失时分秒,怎么办
06-02
这个问题是由于dubbo默认使用了Hessian2进行序列化和反序列化,而Hessian2对于java.sql.Timestamp类型的序列化存在问题,会导致反序列化后的对象中Timestamp的时分秒丢失。解决这个问题的方法是使用其他的序列化方式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值