Apache Dubbo hessian-lite 远程代码执行漏洞

最新推荐文章于 2022-11-07 11:15:03 发布
最新推荐文章于 2022-11-07 11:15:03 发布
阅读量4.5k 收藏 2
点赞数
分类专栏: 漏洞分析 文章标签: apache 安全 dubbo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42353842/article/details/122603524
版权

0x1 漏洞背景

CVE: CVE-2021-43297

受影响的Apache Dubbo版本:

Apache Dubbo 2.6.x < 2.6.12

Apache Dubbo 2.7.x < 2.7.15

Apache Dubbo 3.0.x < 3.0.5

简述:Apache Dubbo是一款微服务开发框架,它提供了RPC通信与微服务治理两大关键能力。该漏洞是由于在Dubbo的hessian-lite中存在反序列化漏洞,未经身份验证的攻击者可利用该漏洞在目标系统上远程执行任意代码。大多数Dubbo用户默认使用Hessian2作为序列化/反序列化协议,在Hessian 捕获到异常时,Hessian将会注销一些用户信息,这可能会导致远程命令执行。

0x2 漏洞分析

查找官方在 21 Nov 2021的commit记录:

https://github.com/apache/dubbo-hessian-lite/commit/a35a4e59ebc76721d936df3c01e1943e871729bd

可以看到对漏洞的修复是 删除了抛出异常错误时对HessianInput对象反序列化。由此推测在这里可能存在反序列化命令执行的问题。

0x3 POC

参看:

https://github.com/bitterzzZZ/CVE-2021-43297-POC

0x4 修复建议

厂商已发布补丁修复漏洞,用户请尽快更新至最新安全版本。

一苇sec
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dubbo-hessian-lite:适用于Apache DubboHessian Lite
05-27
Hessian LiteApache Dubbo专用版) Hessian-lite最初是的Apache dubbo嵌入版本。 然后,此模块与Dubbo分离。 所有分支:2.5.x,2.6.x(自2.6.3起)和2.7.x都依赖于它,请查看详细信息: 现在,我们正在尝试建立一个黑森州小组以使黑森州社区的维护者更加紧密地合作。 Maven依赖 < dependency> < groupId>com.alibaba</ groupId> < artifactId>hessian-lite</ artifactId> < version>3.2.6</ version> </ dependency> 释放 部署到Maven仓库: mvn clean deploy -Prelease Apache源码包: mvn clean install -Pap
dubbo-hessian-lite
11-04
dubbo源码编译时依赖的hessian-lite,由于阿里对部分链接的屏蔽无法解决这个依赖,所以需要用户先下载然后mvn install到本地来解决依赖问题
通过CVE-2021-43297漏洞Apache Dubbo<=2.7.13下实现RCE
「 虚幻私塾」
01-21 1535
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 目录* 0 前言 1 找源头 1.1 找到触发点 1.2 可用的gadget 1.3 向上推触发点 2 构造poc 2.1 开启HttpServer 2.2 hessian2序列化过程简述 3 poc 4 总结 5 Dubbo<=2.7.13可用的POC
Apache Dubbo Provider 远程代码执行漏洞 (CVE-2020-1948)附docker环境
scrooge51的博客
07-07 747
漏洞原理 Dubbo协议默认采用Hessian作为序列化反序列化方式,而Hessian存在危险的反序列化漏洞,攻击者发送未经验证的服务名或方法名的RPC请求,使Dubbo服务端加载远程恶意类从而执行恶意代码. 影响版本 Apache Dubbo 2.7.0 ~ 2.7.6 Apache Dubbo 2.6.0 ~ 2.6.7 Apache Dubbo 2.5.x 所有版本 (官方不再提供支持) 复现流程 漏洞环境(待审核) 1. 利用docker搭建漏洞环境 //本地创建环境: cd docker/
Apache Dubbo 高危漏洞
yes
01-24 2129
你好,我是yes。 前不久 Log4j2 的漏洞不是闹得沸沸扬扬吗,上百个应用更新的那一天,还记忆犹新。 今天又看到了个 Apache Dubbo 的高危漏洞通告,好家伙一看这版本,我们的应用有漏洞… 其实这个漏洞爆出来已经很多天了,影响面没 Log4j2 大,所以没那么“火”,不过也是个高危漏洞。 又是一个可以远程代码执行漏洞漏洞的类型是因为反序列化的问题。 从 360网络安全响应中心官网来看,1.14 号就通告了。 对这个漏洞的评定结果如下: 可以看到,还是属于影响比较严重的漏洞。 具体是因为
Apache Dubbo 被曝出“高危”远程代码执行漏洞
码农code之路
06-25 584
6 月 23 日,360 网络安全响应中心(360CERT)发布《CVE-2020-1948:Apache Dubbo 远程代码执行漏洞通告》(以下简称《通告》)。《通告》称,Apach...
漏洞通告】CVE-2022-39198 Apache Dubbo Hession反序列化漏洞
热爱学习,喜欢折腾!
10-19 2020
Apache Dubbo是一款高性能、轻量级的开源服务框架,提供了RPC通信与微服务处理两大关键能力。10月18日,Apache发布安全公告,修复了影响Apache Dubbo多个版本的一个反序列化漏洞(CVE-2022-39198)。由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,成功利用此漏洞可在目标系统上执行恶意代码
hessian-lite
09-19
dubbo依赖的hessian-lite,版本号是3.2.1-fixed-2,通过下载该源码后,mvn install到本地,解决dubbo源码编译时依赖的hessian-lite的问题
hessian lite
04-27
hessian-lite-3.2.1-fixed-2.jar 有时源码编译dubbo时没有该jar
dubbo-dubbo-2.5.3(包含依赖hessian-lite、opensesame)
03-01
虽然阿里已经给我们打包好了核心框架的jar包,但在实际开发过程中,核心框架、管理控制台、简易监控中心、简易注册中心可能我们都需要用到,而且业务需求可能要修改dubbo源码,再次打包。基于以上原因我们需要构建dubbo。构建的过程还是有些讲究的,需要一些依赖,再次备份所有代码,方便以后使用。
hessian-lite-3.2.1-fixed-2-sources.jar
02-24
java运行依赖jar包
hessian-lite-3.2.1-fixed-2.jar
09-19
hessian-lite-3.2.1-fixed-2.jar
dubbo源码依赖hessian_lite.jar
02-28
dubbo源码依赖hessian_lite,可以使用mvn install命令将jar包安装到本地的maven仓库
Apache Dubbo远程代码执行漏洞(CVE-2021-43297)
10-25
Dubbo 升级到 2.6.12、2.7.15、3.0.5 及以上版本
Apache Dubbo 高危漏洞通告
程序猿DD
01-17 321
前沿技术早知道,弯道超车有希望积累超车资本,从关注DD开始作者:360CERT,图文编辑:xj来源:https://www.oschina.net/news/178522报告编号:B6...
Apache Dubbo Hession反序列化漏洞(CVE-2022-39198)
huofuman960209的博客
11-07 2082
Apache Dubbo组件存在Hession反序列化漏洞,该漏洞是由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,利用此漏洞可在目标系统上执行恶意代码,最终获取服务器最高权限,漏洞编号:CVE-2022-39198,漏洞威胁等级:高危。
漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)补丁绕过通告
爱国小白帽
07-01 1085
漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)补丁绕过通告 原创 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)???? 昨天 通告编号:NS-2020-0038-1 2020-06-30 TA****G: Apache Dubbo、反序列化、CVE-2020-1948、补丁绕过 漏洞危害: 攻击者利用此漏洞,可实现远程代码执行。 版本: 1.1 1 漏洞概述 6月23日,Apache Du
For artifact {org.apache.dubbo:dubbo-spring-boot-starter:null:jar}: The version cannot be empty.
最新发布
05-17
它表示 org.apache.dubbo:dubbo-spring-boot-starter 这个 artifact 的版本号为空。需要在 pom.xml 文件中指定该 artifact 的版本号。您可以尝试在 pom.xml 文件中添加如下的依赖项: ``` <groupId>org.apache....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值