vlambda博客
学习文章列表

Dubbo爆出严重漏洞! 可远程执行恶意代码!(附解决方案)


作者 | 安全客
来源 | https://urlify.cn/rii2ye

近日检测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,360灵腾安全实验室判断漏洞等级为高,利用难度低,威胁程度高,影响面大。建议使用用户及时安装最新补丁,以免遭受黑客攻击。

0x00 漏洞概述

Apche Dubbo是一款高性能、轻量级的开源Java RPC框架。它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡以及服务自动注册和发现。

Dubbo爆出严重漏洞! 可远程执行恶意代码!(附解决方案)

Apache Dubbo支持多种协议,当用户选择http协议进行通信时,Apache Dubbo 在接受远程调用的POST请求的时候会执行一个反序列化的操作,当项目包中存在可用的 gadgets时,由于安全校验不当会导致反序列化执行任意代码。

0x01 漏洞详情

漏洞分析,开始跟踪

Dubbo爆出严重漏洞! 可远程执行恶意代码!(附解决方案)

请求传入 org.apache.dubbo.rpc.protocol.http.HttpProtocol中的 handle

Dubbo爆出严重漏洞! 可远程执行恶意代码!(附解决方案)

通过进一步跟踪发现其传入 org.springframework.remoting.httpinvoker.HttpInvokerServiceExporterreadRemoteInvocation

Dubbo爆出严重漏洞! 可远程执行恶意代码!(附解决方案)

org.springframework.remoting.rmi.RemoteInvocationSerializingExporter中,报文中post data部分为ois,全程并没有做任何安全过滤和检查,直接进行 readObject方法

Dubbo爆出严重漏洞! 可远程执行恶意代码!(附解决方案)

最终导致命令执行Dubbo爆出严重漏洞! 可远程执行恶意代码!(附解决方案)

0x02 影响版本

2.7.0 <= Apache Dubbo <= 2.7.4

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo = 2.5.x

0x03 漏洞检测

仅影响在漏洞版本内启用http协议的用户:<dubboprotocolname=http/>

0x03 处置建议

1、 建议用户升级到2.7.5以上:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5

2、升级方法 Maven dependency

  
    
    
  
  1. <properties>

  2. <dubbo.version>2.7.5</dubbo.version>

  3. </properties>


  4. <dependencies>

  5. <dependency>

  6. <groupId>org.apache.dubbo</groupId>

  7. <artifactId>dubbo</artifactId>

  8. <version>${dubbo.version}</version>

  9. </dependency>

  10. <dependency>

  11. <groupId>org.apache.dubbo</groupId>

  12. <artifactId>dubbo-dependencies-zookeeper</artifactId>

  13. <version>${dubbo.version}</version>

  14. <type>pom</type>

  15. </dependency>

  16. </dependencies>

详细升级过程可参考官方的文档:https://github.com/apache/dubbo

有热门推荐👇

1. 

2. 

3. 

4. 


文章有帮助的话,在看,转发吧。

谢谢支持哟 (*^__^*)