注意!Apache Dubbo 这几个版本出现严重安全漏洞

最新推荐文章于 2023-03-14 10:12:13 发布
最新推荐文章于 2023-03-14 10:12:13 发布
阅读量1.5k 收藏
点赞数
原文链接:https://urlify.cn/AZj2ai
版权

点击上方“Java之间”,选择“置顶或者星标”

你关注的就是我关心的!

来源:https://urlify.cn/AZj2ai

上一篇:大名鼎鼎的LVS:常见的三种负载均衡方式比较!

2020年2月13日,华为云安全团队监测到应用广泛的Apache Dubbo出现一个较为严重的漏洞:反序列化漏洞(漏洞编号:CVE-2019-17564)。攻击者利用该漏洞,可在目标网站上远程执行恶意代码,最终导致网站被控制、数据泄露等。目前,华为云Web应用防火墙(Web Application Firewall,WAF)提供了对该漏洞的防护。

一、漏洞原理

Apache Dubbo是一款应用广泛的高性能轻量级的Java 远程调用分布式服务框架,支持多种通信协议。当网站安装了Apache Dubbo并且启用http协议进行通信时,攻击者可以向网站发送POST请求,在请求里可以执行一个反序列化的操作,由于没有任何安全校验,这个反序列化过程可以执行任意代码。这里,序列化是指把某个编程对象转换为字节序列的过程,而反序列化是指把字节序列恢复为某个编程对象的过程。

二、影响的版本范围

漏洞影响的Apache Dubbo产品版本包括:2.7.0~2.7.4、2.6.0~2.6.7、2.5.x 的所有版本。

三、防护方案

1、Apache Dubbo官方建议用户网站升级到安全的2.7.5版本。下载地址如下:https://github.com/apache/dubbo/tree/dubbo-2.7.5。2、如无法快速升级版本,或希望防护更多其他漏洞,可使用华为云WAF内置的防护规则对该漏洞进行防护,步骤如下:1) 购买WAF。2) 将网站域名添加到WAF中并完成域名接入。3) 将Web基础防护的状态设置为“拦截”模式。

四、最后

你们公司用的是Dubbo还是SpringCloud?

最近热文阅读:

1、大名鼎鼎的LVS:常见的三种负载均衡方式比较!

2、IntelliJ IDEA 的 2020 ,很牛皮!(破音)

3、终于有人把 Nginx 说清楚了,图文详解!

4、一条简单的更新语句,MySQL是如何加锁的?

5、推荐几个IDEA插件,Java开发者撸码利器

6、Java8很香但还是想升级到Java11,教你怎么从Java8升级到Java11

7、代码生成器:IDEA 强大的 Live Templates

8、Java编程中,有哪些好的习惯从一开始就值得坚持?

9、聊聊在阿里远程办公那点事儿

10、面试必备的 “零拷贝” 问题!从头给你说!

关注公众号,你想要的Java都在这里

Java之间
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Dubbo在安全机制方面是如何设计的?它如何防止非法访问和保证服务的安全性?
wddblog的博客
04-25 411
在未来,我们可以期待Dubbo在安全机制方面会有更多的创新和突破,例如引入更先进的身份验证和加密技术、提供更加灵活的访问控制策略、支持更智能的容错处理机制等。综上所述,Dubbo在安全机制方面进行了全面而细致的设计,通过身份认证、权限认证、访问控制等手段,为微服务提供了全方位的安全保障。作为一名资深的架构师,我们需要持续关注安全领域的新技术、新动态,不断完善和优化Dubbo的安全机制,确保系统的安全性和稳定性得到持续提升。Dubbo通过身份认证、权限认证、访问控制等手段,为微服务提供全面的安全保障。
漏洞复现-Apache漏洞合集
aming小老弟
10-03 2704
渗透
最新Apache漏洞分析
二狗的博客
12-30 2017
2021年9月16日,Apache官方发布了Apache httpd mod_proxy SSRF漏洞CVE-2021-40438,影响v2.4.48及以下版本。该漏洞影响范围较广,危害较大,利用简单,不得不引起重视。该ssrf代理访问漏洞适用于apache的绝大多是版本,相对来说漏洞原理比较简单,隐藏了多年也是很不容易了,至于危害的话,笔者认为危害还是挺大的,可以访问到服务器内部一些不对外开放的http端口及uds文件。
RPC框架中服务的注册与发现
bruce128的专栏
12-19 2617
RPC框架中有3个重要的角色: 注册中心 :保存所有服务的名字,服务提供者的ip列表,服务消费者的IP列表 服务提供者: 提供跨进程服务 服务消费者: 寻找到指定命名的服务并消费 注册中心维持着一个服务配置中心节点树: 服务提供者启动时,会将其服务名称,ip地址注册到配置中心。 服务消费者在第一次调用服务时,会通过注册中心找到相应的服务的IP地址列表。当消费者调用服务时,不会再去请求注册中心,而是直
Dubbo和Zookeeper的简介
Zhang_114的博客
08-09 175
1、概述 1.1 Dubbo简介 Apache Dubbo是一款高性能的Java RPC框架。其前身是阿里巴巴公司开源的、轻量级的开源Java RPC 框架,可以和Spring框架无缝集成,2018年阿里巴巴把这个框架捐献给了apache基金会。 什么是RPC? RPC全称为remote procedure call,即远程过程调用。比如两台服务器A和B,A服务器上部署一个应 用,B服务器上部署一个应用,A服务器上的应用想调用B服务器上的应用提供的方法,由于两个应用不 在一个内存空间,不能直接调用,所以需要
RMI与RPC
12-21
RMI的工作流程主要包括以下几个步骤: 1. **服务器端**:创建一个实现了特定接口的远程对象,并将其注册到RMI Registry中,使得客户端可以通过接口查找并获取远程对象的引用。 2. **客户端**:通过RMI Registry获取...
JAVA上百实例源码以及开源项目
01-03
 Message-Driven Bean EJB实例源代码,演示一个接收购物订单的消息驱动Bean,处理这个订单同时通过e-mail的形式  //给客户发一个感谢消息,消息驱动Bean必须实现两个接口MessageDrivenBean和MessageListener  在...
JAVA上百实例源码以及开源项目源代码
12-11
Message-Driven Bean EJB实例源代码 2个目标文件 摘要:Java源码,初学实例,EJB实例 Message-Driven Bean EJB实例源代码,演示一个接收购物订单的消息驱动Bean,处理这个订单同时通过e-mail的形式 //给客户发一个感谢...
java开源包1
06-28
OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密 码),即第三方无需使用用户的用户名与密码就可以申请...
java开源包11
06-28
OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是OAUTH的授权不会使第三方触及到用户的帐号信息(如用户名与密 码),即第三方无需使用用户的用户名与密码就可以申请...
dubbo-2.8.4a.jar
12-11
可以在这网址上下载源码自己打包:https://github.com/dangdangdotcom/dubbox
Apache Dubbo 高危漏洞
yes
01-24 2141
你好,我是yes。 前不久 Log4j2 的漏洞不是闹得沸沸扬扬吗,上百个应用更新的那一天,还记忆犹新。 今天又看到了个 Apache Dubbo 的高危漏洞通告,好家伙一看这版本,我们的应用有漏洞… 其实这个漏洞爆出来已经很多天了,影响面没 Log4j2 大,所以没那么“火”,不过也是个高危漏洞。 又是一个可以远程代码执行的漏洞漏洞的类型是因为反序列化的问题。 从 360网络安全响应中心官网来看,1.14 号就通告了。 对这个漏洞的评定结果如下: 可以看到,还是属于影响比较严重漏洞。 具体是因为
Alibaba Dubbo or Apache Dubbo, 该如何做选择呢?
最新发布
m0_71777195的博客
03-14 1273
实际上,是一款高性能的Java RPC框架。而的前身是阿里巴巴公司开源的、轻量级的开源RPC框架,在2018年阿里巴巴把这个框架捐献给了Apache基金会。那和我们应该怎么去选择呢?目前alibaba.dubbo的最新版本最终为:2.6.12复制代码从的maven仓库上面Note»dubboapache.dubbo的最新版本为:3.2.0-beta.5复制代码🌈对于还是选择:如果2.6.x2.7.0开始,直接使用如果你目前选择了低版本的后面如果想升级到。
Dubbo3高级特性】「提升系统安全性」SSL的安全服务能力
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
10-30 1261
内置的DubboNetty Server 和新引入的 gRPC 协议都提供了基于 TLS 的安全链路传输机制。
Dubbo版本号、监控中心
dengfengling999的博客
07-14 2304
当一个接口有不同的实现,项目早期使用的一个实现类,之后创建接口的新的实现类。特别是项目需要把早期接口的实现全部换位新的实现类,也需要使用version.一个接口可以有多个实现类,,在第一个版本的时候,接口的实现方式是这种方式,再换第二个版本的时候,在第一个基础之上做了优化,但是第一个版本服务也不能给人家去掉,因为还有很多老用户还是用的第一种方式,这样纪要保留第一个,有要开发第二个,通过版本号去完成。可以用版本号从早期的接口实现过渡到新的接口实现,版本号不同的服务相互间不引用。一个接口的两个实现类。.....
Dubbo源码学习(一):dubbo如何检查重复的jar包和获取当前dubbo版本
m0_67401382的博客
04-01 2450
hi,乡亲们好: 菜鸟最近打算学习一下dubbo背后的实现,但又不知道从哪里看起。幸好有位大牛提供了思路。于是就有了第一篇文章,后续还会更新哒! 一、提出疑问: (1).Dubbo是利用什么来检查项目中是否出现重复的jar包 (2).Dubbo又是如何来获取项目中的dubbo版本号呢? 带着这两个疑问首先找到代码的入口:在dubbo-config子工程中的org.apache.dubbo.config.spring.schema包中的DubboNamespaceHandler类中的静态代码块中,而该类又
linux查看dubbo版本号,查看详细linux系统信息的命令和方法.md
weixin_30478151的博客
05-05 3999
cat /proc/meminfo |grep MemTotal #查看内存大小uname -a # 查看内核/操作系统/CPU信息的linux系统信息命令head -n 1 /etc/issue # 查看操作系统版本,是数字1不是字母Lcat /proc/cpuinfo ...
linux查看dubbo版本号,Dubbo 疯狂更新!
weixin_36289211的博客
05-05 3771
我们一起总结下Dubbo项目的进展、维护后整个社区的变化以及包括后续版本的roadmap等,同时也分享一些我们对Dubbo期待和想法。一、社区建设概况Dubbo启动维护后我们组建了由专职人员和RPC技术专家组成的虚拟维护团队,首先组织专人对官网和使用文档进行了重新整理,后续又以社区反馈为主线发布了2.5.5等维护版本。已发布的内容[官网](http://dubbo.io)发布新版文档重新整理后发布...
linux 环境下安装dubbo管理控制台 dubbo admin
m0_67393619的博客
04-20 537
Dubbo Admin dubbo-admin可以对消费者和提供者进行管理 官方网站的是最新版本注意dubbo-2.6.1以后的版本不再有dubbo-admin ,所以进入这个网站下载Dubbo admin 新地址:https://github.com/apache/incubator-dubbo-ops/ 下载。 docker 安装 apache/dubbo-admin docker各个版本地址:https://hub.docker.com/r/apache/dubbo-admin 拉取镜像默认最新 d
Apache Dubbo3源码深度剖析:微服务治理与扩展机制详解
Apache Dubbo 3 是一个高度可扩展的开源框架,专为构建企业级微服务而设计,支持服务发现、流量治理、可观测性和认证鉴权等功能。作为阿里巴巴开源项目,Dubbo 在经历了多个版本迭代后,尤其在云原生场景下进行了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值