当先锋百科网

首页 1 2 3 4 5 6 7

【背景】
2020年2月10号,Apache Dubbo的反序列化漏洞(CVE-2019-17564)被公布,使用 Dubbo-Rpc-Http (2.7.3 or lower) 和Spring-Web (5.1.9.RELEASE or lower)的版本可被利用。Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。Dubbo原属于阿里巴巴的开源项目,2018年阿里巴巴捐赠给 Apache 基金会。【漏洞详情】在使用http协议的Dubbo中,会调用org.springframework.remoting.rmi.RemoteInvocationSerializingExporter 类,该类中 readObject()时未对用户传入的post数据做校验:

ef002390e8a0f392aa147f17e6b08d69.png

导致服务器存在特定gadgets的情况下可用作RCE(远程代码执行),这里在dubbo provider上用 JDK8U20 并添加 commons-collections4 4.0 复现:

28142db132bd547cc257444a3d3fbf4d.png【风险评级】高危【影响版本】Dubbo 2.7.0 to 2.7.4Dubbo 2.6.0 to 2.6.7Dubbo all 2.5.x versions【修复建议】将项目中的 org.apache.dubbo.dubbo 包升级到最新(当前最新版2.7.5)。腾讯御界可检测此漏洞的攻击。【参考链接】https://qiita.com/shimizukawasaki/items/39c9695d439768cfaeb5https://meterpreter.org/cve-2019-17564-apache-dubbo-deserialization-vulnerability-alert/https://www.mail-archive.com/[email protected]/msg06225.html