Apache Dubbo 高危漏洞通告

最新推荐文章于 2024-07-31 19:38:21 发布
最新推荐文章于 2024-07-31 19:38:21 发布
阅读量377 收藏
点赞数
文章标签: java 大数据 linux 安全 人工智能
原文链接:https://mp.weixin.qq.com/s?__biz=MzU3NDE0NjMwNw==&mid=2247500023&idx=1&sn=1d2f4c7393b9c475e089ba26ddd5fee3&chksm=fd34529bca43db8d7147541f4aa987947646c5083ee47f659062787d5e81d39f3540a5fa592a&scene=126&&sessionid=0
版权

285239867557977e5bb9fa1809649773.png

作者:360CERT, 图文编辑:xj

来源:https://www.oschina.net/news/178522

报告编号:B6-2022-011403

报告来源:360CERT

报告作者:360CERT

更新日期:2022-01-14

1 漏洞简述

2022年01月14日,360CERT监测发现Apache官方 发布了Apache Dubbo hessian-lite的风险通告,漏洞编号为CVE-2021-43297,漏洞等级:高危,漏洞评分:7.5

Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。

对此,360CERT建议广大用户及时将Apache Dubbo升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

2 风险等级

360CERT对该漏洞的评定结果如下

d8185a3b1fcd4d0959c87d5a5c9c72c4.png

3 漏洞详情

CVE-2021-43297: Apache Dubbo代码执行漏洞

CVE: CVE-2021-43297

组件: Apache Dubbo

漏洞类型: 反序列化

影响: 代码执行

简述: Apache Dubbo hessian-lite 3.2.11及之前版本存在一个反序列化漏洞。大多数Dubbo用户默认使用Hessian2序列化/反序列化协议,在Hessian捕捉到异常时,会注销用户的一些信息,这可能导致远程命令执行。

4 影响版本

4b76f88a97ec5b3b20c1c28661224c1a.png

5 修复建议

通用修补建议

根据影响版本中的信息,排查并升级到安全版本。下载链接:github.com/apache/dubbo/releases

6 时间线

2022-01-09 Apache官方发布通告

2022-01-14 360CERT发布通告

7 参考链接

https://lists.apache.org/thread/1mszxrvp90y01xob56yp002939c7hlww

57049ce5d57507317a374141ac40b873.png

码农code之路
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通过CVE-2021-43297漏洞Apache Dubbo<=2.7.13下实现RCE
「 虚幻私塾」
01-21 1606
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 目录* 0 前言 1 找源头 1.1 找到触发点 1.2 可用的gadget 1.3 向上推触发点 2 构造poc 2.1 开启HttpServer 2.2 hessian2序列化过程简述 3 poc 4 总结 5 Dubbo<=2.7.13可用的POC
Dubbo 高危漏洞!原来都是反序列化惹得祸
楼下小黑哥
07-09 1169
前言 这周收到外部合作同事推送的一篇文章,【漏洞通告Apache Dubbo Provider默认反序列化远程代码执行漏洞CVE-2020-1948)通告。 按照文章披露的漏洞影响范围,可以说是当前所有的 Dubbo 的版本都有这个问题。 无独有偶,这周在 Github 自己的仓库上推送几行改动,不一会就收到 Github 安全提示,警告当前项目存在安全漏洞CVE-2018-10237。 可以看到这两个漏洞都是利用反序列化进行执行恶意代码,可能很多同学跟我当初一样,看到这个一脸懵逼。好端端的反序列化
Apache Dubbo 高危漏洞
m0_67392409的博客
08-13 321
具体是因为 Apache Dubbo hessian-lite 3.2.11 及之前的版本存在反序列化漏洞,而这个 hessina-lite 恰巧就是 Dubbo 默认的序列化方法。其实这个漏洞爆出来已经很多天了,影响面没 Log4j2 大,所以没那么“火”,不过也是个高危漏洞。今天又看到了个 Apache Dubbo高危漏洞通告,好家伙一看这版本,我们的应用有漏洞…所以用 Dubbo 的同学快去排查下自己的应用,看看是否受到影响。又是一个可以远程代码执行的漏洞漏洞的类型是因为反序列化的问题。...
Apache Dubbo反序列化漏洞
YJ_12340的博客
05-24 861
Dubbo是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的RPC实现服务的输出和输入功能,可以和Spring框架无缝集成。2020年06月23日, Apache Dubbo 官方发布了Apache Dubbo 远程代码执行的风险通告,该漏洞编号为,漏洞等级:高危Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
漏洞通告Apache Dubbo多个高危漏洞CVE-2021-25641等)
爱国小白帽
06-24 1841
2021年6月24日,阿里云应急响应中心监测到国外安全研究人员披露Apache Dubbo多个高危漏洞详情。 01 漏洞描述 Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。2021年6月24日,国外安全研究人员披露Apache Dubbo多个高危漏洞详情: CVE-2021-25641 中,攻击者可利用其他协议绕过Hessian2黑名单造成反序列化。 CVE-2021-30179 中,Apache Dubbo Generic filter存在过滤不严,攻击者可构造恶意请求调用恶意方
CVE-2020-1948 Apache dubbo远程命令执行漏洞
yyj1781572的博客
04-02 1373
通过该实验了解漏洞产生的原因,掌握基本的漏洞利用及使用方法,并能给出加固方案。
注意:Apache Dubbo 远程代码执行漏洞通告
架构文摘
06-27 428
点击蓝色“架构文摘”关注我哟加个“星标”,每天上午 09:25,干货推送!来源:安全客原文:https://www.anquanke.com/post/id/2091020x01 漏洞背...
【补丁绕过】CVE-2020-1948 : Apache Dubbo 远程代码执行漏洞通告更新
爱国小白帽
06-30 932
【补丁绕过】CVE-2020-1948 : Apache Dubbo 远程代码执行漏洞通告更新 360-CERT [三六零CERT](javascript:void(0)???? 今天 0x00 漏洞背景 2020年06月23日, 360CERT监测发现 Apache Dubbo 官方 发布了 Apache Dubbo 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-1948,漏洞等级:高危Apache Dubbo 是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接
Apache Dubbo CVE-2020-1948 反序列化漏洞利用
weixin_46137328的博客
07-08 2043
0x00 漏洞背景2020年06月23日, Apache Dubbo 官方发布了Apache Dubbo 远程代码执行的风险通告,该漏洞编号为CVE-2020-1948,漏洞等级:高危。...
Apache DubboApacheDubbo简介与快速入门
07-12
Apache DubboApacheDubbo简介与快速入门 。Dubbo采用RPC(远程过程调用)协议,使 得服务调用像调用本地方法一样简单,同时提供了服务自动注册与发现、智能路由、负载均衡、容错、服务降级等高级功能
Apache Dubbo
08-18
Apache DubboSpring Boot项目使创建[Spring Boot]变得容易(https://github.com/spring-projects/spring-boot/)使用Dubbo作为RPC框架的应用程序。
apache dubbo 3.0.7源码
05-06
Apache Dubbo 3.0.7 是一个高性能、轻量级的开源Java RPC框架,它由阿里集团贡献并维护,现已成为Apache顶级项目。Dubbo的主要目标是提供一种简单、高效的服务发现和服务治理方案,使得分布式系统开发变得更加便捷。...
Apache Dubbo3 源码深入解析
04-07
Apache Dubbo3 源码深入解析》是一本详细探讨Apache Dubbo这一高性能的WEB和RPC框架的著作。Dubbo不仅提供了基本的服务调用功能,还为构建企业级微服务环境提供了服务发现、流量治理、可观测性以及认证鉴权等功能...
Apache DubboDubbo配置与参数详解
07-12
Apache DubboDubbo配置与参数详解 Dubbo是著名的RCP框架,文档内有干货,提供代码和可复现的命令,值得借鉴。
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
qq_43700885的博客
07-29 499
1.导入hutool的maven依赖。2.复制一下代码执行。
社区养老服务小程序的设计
最新发布
Karen198的博客
07-31 279
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 286
1.导入hutool的maven依赖。2.直接复制一下代码运行。
Java并发(十一)一文搞懂Java并发各种容器
m0_58466443的博客
07-29 770
同步容器将所有对容器状态的访问都串行化,以保证线程安全性,这种策略会严重降低并发性。Java 1.5 后提供了多种并发容器,使用并发容器来替代同步容器,可以极大地提高伸缩性并降低风险。并发容器对应的普通容器描述HashMapJava 1.8 之前采用分段锁机制细化锁粒度,降低阻塞,从而提高并发性;Java 1.8 之后基于 CAS 实现。SortedMap基于跳表实现的ArrayListSet基于实现。SortedSet基于实现。Queue线程安全的无界队列。底层采用单链表。支持 FIFO。
Apache Dubbo3源码深度剖析:微服务治理与扩展机制详解
Apache Dubbo 3 是一个高度可扩展的开源框架,专为构建企业级微服务而设计,支持服务发现、流量治理、可观测性和认证鉴权等功能。作为阿里巴巴开源项目,Dubbo 在经历了多个版本迭代后,尤其在云原生场景下进行了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值