首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >Dubbo的严重漏洞!数据严重泄露!附解决方案

Dubbo的严重漏洞!数据严重泄露!附解决方案

作者头像
用户5224393
发布于 2020-02-20 05:04:31
发布于 2020-02-20 05:04:31
6330
举报
文章被收录于专栏:Java研发军团Java研发军团

点击上方“Java研发军团”,选择“置顶公众号”

关键时刻,第一时间送达!

阅读本文需要5分钟

2020年2月13日,华为云安全团队监测到应用广泛的Apache Dubbo出现一个较为严重的漏洞:反序列化漏洞(漏洞编号:CVE-2019-17564)。攻击者利用该漏洞,可在目标网站上远程执行恶意代码,最终导致网站被控制、数据泄露等。目前,华为云Web应用防火墙Web Application Firewall,WAF)提供了对该漏洞的防护。

一、漏洞原理

Apache Dubbo是一款应用广泛的高性能轻量级的Java 远程调用分布式服务框架,支持多种通信协议。当网站安装了Apache Dubbo并且启用http协议进行通信时,攻击者可以向网站发送POST请求,在请求里可以执行一个反序列化的操作,由于没有任何安全校验,这个反序列化过程可以执行任意代码。这里,序列化是指把某个编程对象转换为字节序列的过程,而反序列化是指把字节序列恢复为某个编程对象的过程。

二、影响的版本范围

漏洞影响的Apache Dubbo产品版本包括:2.7.0~2.7.4、2.6.0~2.6.7、2.5.x 的所有版本。

三、防护方案

1、Apache Dubbo官方建议用户网站升级到安全的2.7.5版本。下载地址如下:

https://github.com/apache/dubbo/tree/dubbo-2.7.5。

2、如无法快速升级版本,或希望防护更多其他漏洞,可使用华为云WAF内置的防护规则对该漏洞进行防护,步骤如下:

1) 购买WAF。

2) 将网站域名添加到WAF中并完成域名接入。

3) 将Web基础防护的状态设置为“拦截”模式。

四、写在最后

你们公司用的是Dubbo还是SpringCloud?如果用的是Dubbo,又是哪个大版本呢(或者基于哪个大版本深度定制)?

来源:华为云 原文地址:https://www.toutiao.com/a6793181470287462916

其它优质文章请见后台公众号菜单

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-02-17,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Java研发军团 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
Dubbo爆出严重漏洞!可导致网站被控制、数据泄露!附解决方案
近日检测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,360灵腾安全实验室判断漏洞等级为高,利用难度低,威胁程度高,影响面大。建议使用用户及时安装最新补丁,以免遭受黑客攻击。
业余草
2020/02/21
8640
Dubbo爆出严重漏洞!可导致网站被控制、数据泄露!附解决方案
Dubbo爆出严重漏洞! 可远程执行恶意代码!(附解决方案)
近日检测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,360灵腾安全实验室判断漏洞等级为高,利用难度低,威胁程度高,影响面大。建议使用用户及时安装最新补丁,以免遭受黑客攻击。
用户6543014
2020/02/21
9740
Apache Dubbo 反序列化漏洞通告及解决方案
近日检测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,360灵腾安全实验室判断漏洞等级为高,利用难度低,威胁程度高,影响面大。建议使用用户及时安装最新补丁,以免遭受黑客攻击。
用户2781897
2020/02/25
7880
【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)补丁绕过通告
6月23日,Apache Dubbo发布安全公告披露Provider默认反序列化导致的远程代码执行漏洞(CVE-2020-1948),攻击者可以发送带有无法识别的服务名或方法名及某些恶意参数负载的RPC请求,当恶意参数被反序列化时将导致代码执行。官方发布2.7.7版本对此漏洞进行了修复,但近日发现该修复补丁被绕过,漏洞仍可以触发,目前官方还没有发布更新的补丁。请相关用户尽快排查并采取防护措施。
绿盟科技安全情报
2020/07/02
4560
【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)补丁绕过通告
【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)通告
6月23日,Apache Dubbo发布安全公告披露Provider默认反序列化导致的远程代码执行漏洞(CVE-2020-1948),攻击者可以发送带有无法识别的服务名或方法名及某些恶意参数负载的RPC请求,当恶意参数被反序列化时将导致代码执行。请相关用户采取措施进行防护。
绿盟科技安全情报
2020/06/28
4560
【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)通告
安全通告 | Apache Dubbo Provider默认反序列化远程代码执行漏洞公告(CVE-2020-1948)
近日,腾讯安全云鼎实验室监测到Apache Dubbo披露了Provider默认反序列化远程代码执行漏洞(CVE-2020-1948),攻击者可构造恶意请求执行任意代码。 为避免您的业务受影响,腾讯安全云鼎实验室建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞详情 Apache Dubbo 是一种基于 Java 的高性能 RPC 框架。该项目 2011 年开源,并于 2018 年 2 月进入 Apache 孵化器,它提供了三大核心能力:面向接口的远程方法调用,智
云鼎实验室
2020/06/23
5570
Apacche Dubbo 反序列化漏洞
早在2019年开发者社区就有谈到这个 http 协议漏洞问题,近期360灵腾安全实验室判断漏洞等级为高,利用难度低,威胁程度高。建议升级 dubbo 版本,避免遭受黑客攻击。
王小明_HIT
2020/07/01
1.1K0
WebLogic接二连三被曝漏洞,到底是为啥?
近日,国家信息安全漏洞共享平台(CNVD)公开了Weblogic反序列化远程代码执行漏洞(CNVD-C-2019-48814),延续了前几年不断爆出的Weblogic反序列化漏洞历史。趁此机会我们来总结分析一下,这些漏洞都是些啥? ▶▶WebLogic是干嘛的? WebLogic是美国甲骨文(Oracle)公司的一款知名应用服务中间件,它被用来开发、集成、部署和管理多种大型分布式系统,极大的方便了系统管理,以及简化部署步骤,在世界范围内被广泛运用。在中国常见于电信、政府行业和金融行业。 CNVD秘书处对W
腾讯云安全
2019/05/16
1.1K0
WebLogic接二连三被曝漏洞,到底是为啥?
CVE-2020-1948:Dubbo Provider默认反序列化复现
Dubbo是**巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的RPC实现服务的输出和输入功能,可以和Spring框架无缝集成。
Timeline Sec
2020/08/05
1.5K0
CVE-2020-1948:Dubbo Provider默认反序列化复现
漏洞分析 | Dubbo2.7.7反序列化漏洞绕过分析
北京时间2020-6-22日Apache官方发布了Dubbo 2.7.7版本,其中修复了一个严重的远程代码执行漏洞(CVE-2020-1948),这个漏洞是由腾讯安全玄武实验室的ruilin提交,该漏洞允许攻击者使用任意的服务名和方法名发送RPC请求,同时将恶意序列化参数作为有效载荷,当恶意序列化的参数被反序列化时将执行恶意代码。该漏洞与 CVE-2017-3241 RMI反序列化漏洞有点类似,都是在远程调用过程中通过方法参数传入恶意序列化对象,服务端在解析参数进行反序列化时触发。Dubbo Github
云鼎实验室
2020/07/02
1K0
【漏洞预警】Apache Shiro RememberMe Padding Oracle漏洞预警通告
2019年9月8日,Apache官方发布了编号为SHIRO-721的漏洞议题“RememberMe Padding Oracle Vulnerability”。该议题指出,由于Apache Shiro cookie的RememberMe字段通过AES-128-CBC模式进行加密,使Shiro易受到Padding Oracle攻击。攻击者可使用合法的RememberMe cookie作为Padding Oracle攻击前缀,构造RememberMe触发Java反序列化攻击。攻击者无需知道RememberMe的加密密钥,即可执行攻击。
绿盟科技安全情报
2019/11/21
1.4K0
【漏洞预警】Apache Shiro RememberMe Padding Oracle漏洞预警通告
漏洞情报|Jackson-databind反序列化漏洞风险通告(CVE-2020-35490,CVE-2020-35491)
2020年12月18日,腾讯云安全运营中心监测到,FasterXML Jackson-databind官方发布安全通告,披露Jackson-databind < 2.9.10.8存在反序列化远程代码执行漏洞,漏洞编号CVE-2020-35490、CVE-2020-35491。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞详情 Jackson-databind是一套开源java高性能JSON处理器。 据官方描述,Jackson-
云鼎实验室
2020/12/18
2.1K0
[CVE-2020-1948] Apache Dubbo Provider反序列化漏洞复现及分析
Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
Jayway
2020/07/01
2.5K0
[CVE-2020-1948] Apache Dubbo Provider反序列化漏洞复现及分析
Apache Solr代码执行漏洞自助处置手册
Apache Solr 是一个开源搜索服务引擎,使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。Apache Solr 在默认配置下存在服务端请求伪造漏洞,当Solr以cloud模式启动且可出网时,远程攻击者可利用此漏洞在目标系统上执行任意代码。
腾讯云安全中心
2023/04/25
1.8K0
Web漏洞 | JAVA反序列化漏洞
1、由于很多站点或者RMI仓库等接口处存在java的反序列化功能,于是攻击者可以通过构造特定的恶意对象序列化后的流,让目标反序列化,从而达到自己的恶意预期行为,包括命令执行,甚至 getshell 等等。
谢公子
2022/01/13
8540
Web漏洞 | JAVA反序列化漏洞
漏洞情报|XStream任意文件删除/服务端请求伪造漏洞风险通告(CVE-2020-26259,CVE-2020-26258)
近日,腾讯云安全运营中心监测到,XStream官方发布关于XStream反序列化漏洞的风险通告(漏洞编号:CVE-2020-26259,CVE-2020-26258),如果代码中使用了XStream,未授权的远程攻击者,可构造特定的序列化数据造成任意文件删除或服务端请求伪造。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞详情 XStream是一个开源的Java类库,它能够将对象序列化成XML或将XML反序列化为对象。 CVE-2
云鼎实验室
2020/12/16
1.1K0
CVE-2021-30179:Apache Dubbo RCE复现
Apache Dubbo是一个分布式框架,致力于提供高性能透明化的RPC远程服务调用方案,以及SOA服务治理方案。Apache Dubbo在实际应用场景中主要负责解决分布式的相关需求。
Timeline Sec
2021/08/20
4.2K0
第91篇:shiro反序列化漏洞绕waf防护的方法总结(上篇)
。Shiro反序列化漏洞于2016年公布,漏洞编号为CVE-2016-4437,也被称为Shiro-550,虽然过去8年了,但是目前仍是红队人员重点关注和利用的漏洞。目前Shiro反序列化漏洞的数量大大减少,但是从ABC_123总结最近2年的攻防比赛的战果来看,目前Shiro反序列化漏洞在一些大型公司的子域名的深层次目录、边缘子站、全资子公司仍然会被发现,在一些地级市攻防比赛中仍然会出现很多。
ABC_123
2024/04/28
1.8K0
第91篇:shiro反序列化漏洞绕waf防护的方法总结(上篇)
Apache Log4j2远程代码执行漏洞风险紧急通告,腾讯安全支持全面检测
​​腾讯安全注意到,一个Apache Log4j2的高危漏洞细节被公开,攻击者利用漏洞可以远程执行代码。
腾讯安全
2021/12/10
1.4K0
Apache Log4j2远程代码执行漏洞风险紧急通告,腾讯安全支持全面检测
第94篇:记一次国护零失分的防守经验总结(中篇)
大家好,我是ABC_123。在上篇文章《记一次国护零失分的防守经验总结(上篇)》中,给大家分享了一些在国护防守中能够减少失分、实施简单而又能快速奏效的方法。本期参考之前的防守零失分的案例,继续探讨并分享其它的一些好用的方法。目前分享的是一些蓝队防守的关键点,随着总结的深入,这些点会慢慢形成面,最后会形成一个蓝队防守的体系。。
ABC_123
2024/06/03
3560
第94篇:记一次国护零失分的防守经验总结(中篇)
推荐阅读
Dubbo爆出严重漏洞!可导致网站被控制、数据泄露!附解决方案
8640
Dubbo爆出严重漏洞! 可远程执行恶意代码!(附解决方案)
9740
Apache Dubbo 反序列化漏洞通告及解决方案
7880
【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)补丁绕过通告
4560
【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)通告
4560
安全通告 | Apache Dubbo Provider默认反序列化远程代码执行漏洞公告(CVE-2020-1948)
5570
Apacche Dubbo 反序列化漏洞
1.1K0
WebLogic接二连三被曝漏洞,到底是为啥?
1.1K0
CVE-2020-1948:Dubbo Provider默认反序列化复现
1.5K0
漏洞分析 | Dubbo2.7.7反序列化漏洞绕过分析
1K0
【漏洞预警】Apache Shiro RememberMe Padding Oracle漏洞预警通告
1.4K0
漏洞情报|Jackson-databind反序列化漏洞风险通告(CVE-2020-35490,CVE-2020-35491)
2.1K0
[CVE-2020-1948] Apache Dubbo Provider反序列化漏洞复现及分析
2.5K0
Apache Solr代码执行漏洞自助处置手册
1.8K0
Web漏洞 | JAVA反序列化漏洞
8540
漏洞情报|XStream任意文件删除/服务端请求伪造漏洞风险通告(CVE-2020-26259,CVE-2020-26258)
1.1K0
CVE-2021-30179:Apache Dubbo RCE复现
4.2K0
第91篇:shiro反序列化漏洞绕waf防护的方法总结(上篇)
1.8K0
Apache Log4j2远程代码执行漏洞风险紧急通告,腾讯安全支持全面检测
1.4K0
第94篇:记一次国护零失分的防守经验总结(中篇)
3560
相关推荐
Dubbo爆出严重漏洞!可导致网站被控制、数据泄露!附解决方案
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档