Apache Dubbo 被曝出“高危”远程代码执行漏洞

最新推荐文章于 2024-08-11 21:12:10 发布
最新推荐文章于 2024-08-11 21:12:10 发布
阅读量616 收藏
点赞数
原文链接:http://blog.haoservice.cn
版权

6 月 23 日,360 网络安全响应中心(360CERT)发布《CVE-2020-1948:Apache Dubbo 远程代码执行漏洞通告》(以下简称《通告》)。《通告》称,Apache Dubbo 存在远程代码执行漏洞,受影响的版本有 Dubbo 2.5.x、Dubbo 2.6.0 - 2.6.7 和 Dubbo 2.7.0 - 2.7.6。

根据 360CERT 的评定,该漏洞等级为高危,影响面广泛。

Apache Dubbo 官方表示,Apache Dubbo Provider 存在反序列化漏洞。攻击者可以通过 RPC 请求发送无法识别的服务名称或方法名称以及一些恶意参数有效载荷,当恶意参数被反序列化时,可以造成远程代码执行。

据悉, Apache Dubbo 是一款高性能、轻量级的开源 Java RPC 框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。

通用修复建议:

建议广大用户及时升级到 2.7.7 或更高版本,下载地址:
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7

【推荐阅读

Spring Boot“内存泄漏”?看看美团大牛是如何排查的

自由了!在字节跳动做码农6年后,28岁郭宇宣布退休!

重磅!阿里推出国产开源的jdk!

还在用if(obj!=null)做非空判断?带你快速上手Optional!

日志系统新贵Loki,确实比笨重的ELK轻

码农code之路
关注
Apache Dubbo反序列化漏洞复现分析
include_voidmain的博客
03-10 3106
Apache Dubbo反序列化漏洞复现分析
Apache Log4j2 远程代码执行漏洞 排查及修复
m0_48368237的博客
12-23 1977
近期,Apache Log4j2 远程代码执行漏洞(CNVD-2021- 95914)曝光,引发社会广泛关注。攻击者利用该漏洞,可 在未授权的情况下远程执行代码,获得服务器控制权限。经 中心综合技术分析研判,该漏洞具有危害程度高、利用难度 低、影响范围大的特点。 一、漏洞情况分析 Apache Log4j 是一个基于 Java 的日志记录组件。Apach e Log4j2 是 Log4j 的升级版本,通过重写 Log4j 引入了丰富 的功能特性。该日志组件被广泛应用于业务系统开发,用以 记录程序输入输出日志
漏洞复现-Apache Dubbo反序列化漏洞(CVE-2023-23638)
最新发布
玄道的网安博客
08-11 354
GenericFilter 将根据客户端提供的接口名、方法名、方法参数类型列表,根据反射机制获取对应的方法,再根据客户端提供的反序列化方式将参数进行反序列化成 pojo 对象。遍历 Map 中所有的 key, 并尝试获取与 key 对应的 setter 或 Field, 然后赋值因为上面的过程会同时获取可能的 setter 和 Field, 然后赋值, 所以我们基本上可以控制任何类的任何属性 (即使它没有对应的 setter)1、关闭对公网开放的Dubbo服务端端口,仅允许可信任的IP访问。
CVE-2020-1948 Apache dubbo远程命令执行漏洞
yyj1781572的博客
04-02 1494
通过该实验了解漏洞产生的原因,掌握基本的漏洞利用及使用方法,并能给出加固方案。
Apache Dubbo Hession反序列化漏洞(CVE-2022-39198)
huofuman960209的博客
11-07 2243
Apache Dubbo组件存在Hession反序列化漏洞,该漏洞是由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,利用此漏洞可在目标系统上执行恶意代码,最终获取服务器最高权限,漏洞编号:CVE-2022-39198,漏洞威胁等级:高危
Dubbo 高危漏洞!原来都是反序列化惹得祸
楼下小黑哥
07-09 1210
前言 这周收到外部合作同事推送的一篇文章,【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)通告。 按照文章披露的漏洞影响范围,可以说是当前所有的 Dubbo 的版本都有这个问题。 无独有偶,这周在 Github 自己的仓库上推送几行改动,不一会就收到 Github 安全提示,警告当前项目存在安全漏洞CVE-2018-10237。 可以看到这两个漏洞都是利用反序列化进行执行恶意代码,可能很多同学跟我当初一样,看到这个一脸懵逼。好端端的反序列化
Apache Log4j2(CVE-2021-44228) 高危安全漏洞介绍
m0_54899775的博客
12-13 2397
Apache Log4j2(CVE-2021-44228) 高危安全漏洞介绍 史诗级漏洞
Apache Log4j 2 报高危漏洞,CODING 联手腾讯安全护卫软件安全
CODING 博客
12-10 3101
腾讯安全专家建议所有用户尽快升级到安全版本
Apache Log4j2漏洞复现
MoCoCN的博客
12-22 2960
0x00 前言 慢慢的距离上次写文章已过去了377天,这一年发生了好多好多的事,经历了好多好多的变故,或喜或悲、或分或合、起起落落,整整的一年了得,没怎么好好学习,没怎么认真的钻研技术,对自己表示很抱歉,违背了“白帽守则”,让我们重温一下“白帽守则”: 白帽守则第一页第一条,心中无女人,挖洞自然神。 白帽守则第一页第二条,只有不努力的白帽,没有挖不到的漏洞 对此我深表歉意、望大家以我为戒,踏踏实实的深入贯彻落实“白帽守则”,切实维护祖国网络空间安全。 0x01漏洞描述 Apache Log4j2是一款优秀的
Apache tomcat远程代码执行验证代码
04-16
Apache tomcat远程代码执行代码
Apache Dubbo 高危漏洞
zb_3Dmax的博客
09-06 819
具体是因为 Apache Dubbo hessian-lite 3.2.11 及之前的版本存在反序列化漏洞,而这个 hessina-lite 恰巧就是 Dubbo 默认的序列化方法。其实这个漏洞爆出来已经很多天了,影响面没 Log4j2 大,所以没那么“火”,不过也是个高危漏洞。今天又看到了个 Apache Dubbo高危漏洞通告,好家伙一看这版本,我们的应用有漏洞…所以用 Dubbo 的同学快去排查下自己的应用,看看是否受到影响。又是一个可以远程代码执行漏洞漏洞的类型是因为反序列化的问题。
Dubbo 高危反序列化漏洞,存在远程代码执行风险,建议及时升级到2.7.7或更高版本!...
程序猿DD
06-25 1272
点击上方蓝色“程序猿DD”,选择“设为星标”回复“资源”获取独家整理的学习资料!以下内容转载自安全客,原文链接:https://www.anquanke.com/post/id/2091...
漏洞预警|Apache Dubbo 存在反序列化漏洞
LJQClqjc的博客
03-09 739
棱镜七彩安全预警
漏洞通告】Apache Dubbo多个高危漏洞(CVE-2021-25641等)
爱国小白帽
06-24 1895
2021年6月24日,阿里云应急响应中心监测到国外安全研究人员披露Apache Dubbo多个高危漏洞详情。 01 漏洞描述 Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。2021年6月24日,国外安全研究人员披露Apache Dubbo多个高危漏洞详情: CVE-2021-25641 中,攻击者可利用其他协议绕过Hessian2黑名单造成反序列化。 CVE-2021-30179 中,Apache Dubbo Generic filter存在过滤不严,攻击者可构造恶意请求调用恶意方
Apache Dubbo hessian-lite 远程代码执行漏洞
whoami
01-20 4736
0x1 漏洞背景 CVE: CVE-2021-43297 受影响的Apache Dubbo版本: Apache Dubbo 2.6.x < 2.6.12 Apache Dubbo 2.7.x < 2.7.15 Apache Dubbo 3.0.x < 3.0.5 简述:Apache Dubbo是一款微服务开发框架,它提供了RPC通信与微服务治理两大关键能力。该漏洞是由于在Dubbo的hessian-lite中存在反序列化漏洞,未经身份验证的攻击者可利用该漏洞在目标系统上远程
【反序列化漏洞】关于反序列化漏洞的杂谈1 -- Apache Dubbo 反序列化漏洞 CVE-2023-29234
qq_50296568的博客
07-26 1404
反序列化漏洞也被称为"unserialization vulnerability"。它存在于那些允许将对象从字符串或二进制数据转换回原始对象的应用程序中。反序列化漏洞的问题在于,恶意用户可以构造特殊的序列化数据,通过应用程序的反序列化过程来执行恶意代码。这可以导致应用程序在反序列化过程中执行任意的代码,包括读取、修改或删除应用程序的敏感数据,或者在应用程序上下文中执行不受控制的操作。
Dubbo远程执行漏洞修复建议:升级到最新安全版本
资源摘要信息:"Apache Dubbo远程代码执行漏洞(CVE-2021-43297)是Apache Dubbo框架中存在的一个安全漏洞,该漏洞允许攻击者远程执行任意代码Dubbo是阿里巴巴开源的一款高性能Java RPC框架,广泛用于构建分布式应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值