Apache Dubbo hessian-lite 远程代码执行漏洞

最新推荐文章于 2024-08-07 09:29:12 发布
最新推荐文章于 2024-08-07 09:29:12 发布
阅读量4.7k 收藏 2
点赞数
分类专栏: 漏洞分析 文章标签: apache 安全 dubbo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42353842/article/details/122603524
版权

0x1 漏洞背景

CVE: CVE-2021-43297

受影响的Apache Dubbo版本:

Apache Dubbo 2.6.x < 2.6.12

Apache Dubbo 2.7.x < 2.7.15

Apache Dubbo 3.0.x < 3.0.5

简述:Apache Dubbo是一款微服务开发框架,它提供了RPC通信与微服务治理两大关键能力。该漏洞是由于在Dubbo的hessian-lite中存在反序列化漏洞,未经身份验证的攻击者可利用该漏洞在目标系统上远程执行任意代码。大多数Dubbo用户默认使用Hessian2作为序列化/反序列化协议,在Hessian 捕获到异常时,Hessian将会注销一些用户信息,这可能会导致远程命令执行。

0x2 漏洞分析

查找官方在 21 Nov 2021的commit记录:

https://github.com/apache/dubbo-hessian-lite/commit/a35a4e59ebc76721d936df3c01e1943e871729bd

可以看到对漏洞的修复是 删除了抛出异常错误时对HessianInput对象反序列化。由此推测在这里可能存在反序列化命令执行的问题。

0x3 POC

参看:

https://github.com/bitterzzZZ/CVE-2021-43297-POC

0x4 修复建议

厂商已发布补丁修复漏洞,用户请尽快更新至最新安全版本。

一苇sec
关注
专栏目录
通过CVE-2021-43297漏洞Apache Dubbo<=2.7.13下实现RCE
「 虚幻私塾」
01-21 1696
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 目录* 0 前言 1 找源头 1.1 找到触发点 1.2 可用的gadget 1.3 向上推触发点 2 构造poc 2.1 开启HttpServer 2.2 hessian2序列化过程简述 3 poc 4 总结 5 Dubbo<=2.7.13可用的POC
Java安全Dubbo反序列化漏洞分析
m0_65462541的博客
12-21 2220
0x00 前言 最近天气冷,懒癌又犯了,加上各种项目使得本篇文断断续续。 0x01 Dubbo Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC(一种远程调用) 分布式服务框架(SOA),致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。dubbo 支持多种序列化方式并且序列化是和协议相对应的。比如:Dubbo支持dubbo、rmi、hessian、http、webservice、thrift、redis等多种协议。 运行机制 Dubbo框架启动,容器Contai
dubbo-hessian-lite
11-04
dubbo源码编译时依赖的hessian-lite,由于阿里对部分链接的屏蔽无法解决这个依赖,所以需要用户先下载然后mvn install到本地来解决依赖问题
dubbo-hessian-lite:适用于Apache DubboHessian Lite
05-27
Hessian LiteApache Dubbo专用版) Hessian-lite最初是的Apache dubbo嵌入版本。 然后,此模块与Dubbo分离。 所有分支:2.5.x,2.6.x(自2.6.3起)和2.7.x都依赖于它,请查看详细信息: 现在,我们正在尝试建立一个黑森州小组以使黑森州社区的维护者更加紧密地合作。 Maven依赖 < dependency> < groupId>com.alibaba</ groupId> < artifactId>hessian-lite</ artifactId> < version>3.2.6</ version> </ dependency> 释放 部署到Maven仓库: mvn clean deploy -Prelease Apache源码包: mvn clean install -Pap
Apache Dubbo Hessian-Lite 教程
最新发布
gitblog_00538的博客
08-07 965
Apache Dubbo Hessian-Lite 教程 dubbo-hessian-liteHessian Lite for Apache Dubbo项目地址:https://gitcode.com/gh_mirrors/du/dubbo-hessian-lite 项目介绍 Apache Dubbo Hessian-Lite 是一个专门为 Apache Dubbo 微服务框架设计的轻量级序列...
Apache Dubbo 被曝出“高危”远程代码执行漏洞
码农code之路
06-25 615
6 月 23 日,360 网络安全响应中心(360CERT)发布《CVE-2020-1948:Apache Dubbo 远程代码执行漏洞通告》(以下简称《通告》)。《通告》称,Apach...
漏洞通告】CVE-2022-39198 Apache Dubbo Hession反序列化漏洞
热爱学习,喜欢折腾!
10-19 2256
Apache Dubbo是一款高性能、轻量级的开源服务框架,提供了RPC通信与微服务处理两大关键能力。10月18日,Apache发布安全公告,修复了影响Apache Dubbo多个版本的一个反序列化漏洞(CVE-2022-39198)。由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,成功利用此漏洞可在目标系统上执行恶意代码
hessian-lite
09-19
dubbo依赖的hessian-lite,版本号是3.2.1-fixed-2,通过下载该源码后,mvn install到本地,解决dubbo源码编译时依赖的hessian-lite的问题
dubbo代码编译打包错误解决
qq_34331610的博客
10-17 2095
    来说说dubbo安装时遇到的大坑。   之前的资源在阿里的网站上可以直接下载下来,但这两天总是没有mvn install成功过,最初以为是网络原因,但家里网速杠杠的,依旧不能下载到有些网站的代码,才意识到这是资源本身的问题。首先会碰到的问题是opensesame这个网站上不去,导致某个依赖无法下载:  Failed to execute goal on project dubbo-...
Apache Dubbo 高危漏洞
yes
01-24 2165
你好,我是yes。 前不久 Log4j2 的漏洞不是闹得沸沸扬扬吗,上百个应用更新的那一天,还记忆犹新。 今天又看到了个 Apache Dubbo 的高危漏洞通告,好家伙一看这版本,我们的应用有漏洞… 其实这个漏洞爆出来已经很多天了,影响面没 Log4j2 大,所以没那么“火”,不过也是个高危漏洞。 又是一个可以远程代码执行漏洞漏洞的类型是因为反序列化的问题。 从 360网络安全响应中心官网来看,1.14 号就通告了。 对这个漏洞的评定结果如下: 可以看到,还是属于影响比较严重的漏洞。 具体是因为
hessian lite
04-27
hessian-lite-3.2.1-fixed-2.jar 有时源码编译dubbo时没有该jar
dubbo-dubbo-2.5.3(包含依赖hessian-lite、opensesame)
03-01
虽然阿里已经给我们打包好了核心框架的jar包,但在实际开发过程中,核心框架、管理控制台、简易监控中心、简易注册中心可能我们都需要用到,而且业务需求可能要修改dubbo源码,再次打包。基于以上原因我们需要构建dubbo。构建的过程还是有些讲究的,需要一些依赖,再次备份所有代码,方便以后使用。
hessian-lite-3.2.1-fixed-2-sources.jar
02-24
java运行依赖jar包
hessian-lite-3.2.1-fixed-2.jar
09-19
hessian-lite-3.2.1-fixed-2.jar
dubbo源码依赖hessian_lite.jar
02-28
dubbo源码依赖hessian_lite,可以使用mvn install命令将jar包安装到本地的maven仓库
CVE-2020-1948 Apache dubbo远程命令执行漏洞
yyj1781572的博客
04-02 1487
通过该实验了解漏洞产生的原因,掌握基本的漏洞利用及使用方法,并能给出加固方案。
Apache Dubbo Hession反序列化漏洞(CVE-2022-39198)
huofuman960209的博客
11-07 2239
Apache Dubbo组件存在Hession反序列化漏洞,该漏洞是由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,利用此漏洞可在目标系统上执行恶意代码,最终获取服务器最高权限,漏洞编号:CVE-2022-39198,漏洞威胁等级:高危。
Dubbo远程执行漏洞修复建议:升级到最新安全版本
资源摘要信息:"Apache Dubbo远程代码执行漏洞(CVE-2021-43297)是Apache Dubbo框架中存在的一个安全漏洞,该漏洞允许攻击者远程执行任意代码Dubbo是阿里巴巴开源的一款高性能Java RPC框架,广泛用于构建分布式应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值