Apache Dubbo 反序列化漏洞通告及解决方案

点击上方“服务端思维”,选择“设为星标

回复”669“获取独家整理的精选资料集

回复”加群“加入全国服务端高端社群「后端圈」  

Apache Dubbo 反序列化漏洞通告及解决方案_第1张图片

作者 | 安全客

出品 | www.anquanke.com/post/id/198747

近日检测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,360灵腾安全实验室判断漏洞等级为高,利用难度低,威胁程度高,影响面大。建议使用用户及时安装最新补丁,以免遭受黑客攻击。

0x00 漏洞概述

Apche Dubbo是一款高性能、轻量级的开源Java RPC框架。它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡以及服务自动注册和发现。

Apache Dubbo 反序列化漏洞通告及解决方案_第2张图片

Apache Dubbo支持多种协议,当用户选择http协议进行通信时,Apache Dubbo 在接受远程调用的POST请求的时候会执行一个反序列化的操作,当项目包中存在可用的 gadgets时,由于安全校验不当会导致反序列化执行任意代码。

0x01 漏洞详情

漏洞分析,开始跟踪

Apache Dubbo 反序列化漏洞通告及解决方案_第3张图片

请求传入 org.apache.dubbo.rpc.protocol.http.HttpProtocol中的 handle

Apache Dubbo 反序列化漏洞通告及解决方案_第4张图片

通过进一步跟踪发现其传入 org.springframework.remoting.httpinvoker.HttpInvokerServiceExporterreadRemoteInvocation

Apache Dubbo 反序列化漏洞通告及解决方案_第5张图片

org.springframework.remoting.rmi.RemoteInvocationSerializingExporter中,报文中post data部分为ois,全程并没有做任何安全过滤和检查,直接进行 readObject方法

Apache Dubbo 反序列化漏洞通告及解决方案_第6张图片

最终导致命令执行Apache Dubbo 反序列化漏洞通告及解决方案_第7张图片

0x02 影响版本

2.7.0 <= Apache Dubbo <= 2.7.4

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo = 2.5.x

0x03 漏洞检测

仅影响在漏洞版本内启用http协议的用户:protocolname=http/>

0x03 处置建议

1、 建议用户升级到2.7.5以上:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5

2、升级方法 Maven dependency

    
        2.7.5
    
    
        
          org.apache.dubbo
            dubbo
          ${dubbo.version}
        
        
            org.apache.dubbo
          dubbo-dependencies-zookeeper
            ${dubbo.version}
          pom
        
    

详细升级过程可参考官方的文档:https://github.com/apache/dubb

— 新书出版 —
新书出版
→
— 本文结束 —● 漫谈设计模式在 Spring 框架中的良好实践● 颠覆微服务认知:深入思考微服务的七个主流观点
● 人人都是 API 设计者● 一文讲透微服务下如何保证事务的一致性
● 要黑盒测试微服务内部服务间调用,我该如何实现?


关注我,回复 「加群」 加入各种主题讨论群。

对「服务端思维」有期待,请在文末点个在看喜欢这篇文章,欢迎转发、分享朋友圈
在看点这里

你可能感兴趣的:(Apache Dubbo 反序列化漏洞通告及解决方案)