查看原文
其他

告急:Dubbo出现严重漏洞,覆盖多个版本,附解决方案


来源:华为云 & 安全客

整理:Java面试那些事儿


近日,国内各安全实验室检测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,判断漏洞等级为高,利用难度低,威胁程度高,影响面大。建议使用用户及时安装最新补丁,以免遭受黑客攻击。




# 漏洞原理


Apache Dubbo是一款应用广泛的高性能轻量级的Java 远程调用分布式服务框架,支持多种通信协议。

当网站安装了Apache Dubbo并且启用http协议进行通信时,攻击者可以向网站发送POST请求,在请求里可以执行一个反序列化的操作,由于没有任何安全校验,这个反序列化过程可以执行任意代码。这里,序列化是指把某个编程对象转换为字节序列的过程,而反序列化是指把字节序列恢复为某个编程对象的过程。


漏洞分析,开始跟踪:


请求传入org.apache.dubbo.rpc.protocol.http.HttpProtocol中的handle:


通过进一步跟踪发现其传入org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter的readRemoteInvocation:


在org.springframework.remoting.rmi.RemoteInvocationSerializingExporter中,报文中post data部分为ois,全程并没有做任何安全过滤和检查,直接进行readObject方法:


最终导致命令执行:



# 影响的版本范围


漏洞影响的Apache Dubbo产品版本包括:2.7.0~2.7.4、2.6.0~2.6.7、2.5.x 的所有版本。


# 漏洞检测


仅影响在漏洞版本内启用http协议的用户:

<dubbo:protocol name ="http" />


# 防护方案


1、Apache Dubbo官方建议用户网站升级到安全的2.7.5版本。下载地址如下:https://github.com/apache/dubbo/tree/dubbo-2.7.5。

<properties> <dubbo.version>2.7.5</dubbo.version></properties>
<dependencies> <dependency> <groupId>org.apache.dubbo</groupId> <artifactId>dubbo</artifactId> <version>${dubbo.version}</version> </dependency> <dependency> <groupId>org.apache.dubbo</groupId> <artifactId>dubbo-dependencies-zookeeper</artifactId> <version>${dubbo.version}</version> <type>pom</type> </dependency></dependencies>


2、如无法快速升级版本,或希望防护更多其他漏洞,可使用WAF内置的防护规则对该漏洞进行防护,步骤如下:

  • 购买WAF。

  • 将网站域名添加到WAF中并完成域名接入。

  • 将Web基础防护的状态设置为“拦截”模式。


# 参考


https://www.mail-archive.com/dev@dubbo.apache.org/msg06225.html

https://www.anquanke.com/post/id/198747




 往期推荐 

🔗



点击阅读原文,获得更多精彩内容

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存