🔥 热搜 🔥
法明传[2024]173号起源 解读 龚中共中央妈 分享 回赵紫阳写小说南京李志中美友好合作故事百度今日热点
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
法明传[2024]173号起源 解读 龚中共中央妈 分享 回赵紫阳写小说南京李志中美友好合作故事百度今日热点
分类
社会娱乐国际人权科技经济其它
查看原文
其他

Dubbo爆出严重漏洞! 可远程执行恶意代码!(附解决方案)

21CTO 2022-05-25


近日检测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,360灵腾安全实验室判断漏洞等级为高,利用难度低,威胁程度高,影响面大。建议使用用户及时安装最新补丁,以免遭受黑客攻击。

01


漏洞概述


Apche Dubbo是一款高性能、轻量级的开源Java RPC框架。它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡以及服务自动注册和发现。
Apache Dubbo支持多种协议,当用户选择http协议进行通信时,Apache Dubbo 在接受远程调用的POST请求的时候会执行一个反序列化的操作,当项目包中存在可用的gadgets时,由于安全校验不当会导致反序列化执行任意代码。

02


漏洞详情


漏洞分析,开始跟踪
请求传入org.apache.dubbo.rpc.protocol.http.HttpProtocol中的handle
通过进一步跟踪发现其传入
org.springframework.remoting.httpinvoker.HttpInvokerServiceExporterreadRemoteInvocation
org.springframework.remoting.rmi.RemoteInvocationSerializingExporter中,报文中post data部分为ois,全程并没有做任何安全过滤和检查,直接进行readObject方法
最终导致命令执行

03

影响版本

2.7.0 <= Apache Dubbo <= 2.7.4

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo = 2.5.x

漏洞检测

仅影响在漏洞版本内启用http协议的用户:<dubbo:protocolname=“http”/>

04

处置建议

1、 建议用户升级到2.7.5以上:
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5
2、升级方法
Maven dependency

详细升级过程可参考官方的文档:
https://github.com/apache/dubbo
3、如无法快速升级版本,或希望防护更多其他漏洞。
可使用各云服务器WAF内置的防护规则对该漏洞进行防护,步骤如下:

1) 购买WAF。

2) 将网站域名添加到WAF中并完成域名接入。

3) 将Web基础防护的状态设置为“拦截”模式。


来源:https://urlify.cn/rii2ye


相关阅读:


Java 分布式 RPC 框架性能大比拼,Dubbo 排第几?

2020年9个最流行的Java框架

dubbo源码解析-集群容错架构设计


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存