Dubbo爆出严重漏洞! 可远程执行恶意代码!(附解决方案)

1.png


近日检测到Apache Dubbo官方发布了CVE-2019-17564马脚通知,360灵腾安然实验室判断马脚等级为高,行使难度低,威胁水平高,影响面大。建议使用用户实时安装最新补丁,以免承受黑客冲击。
 
 01 马脚概述 
 
Apche Dubbo是一款高机能、轻量级的开源Java RPC框架。它供给了三大核心能力:面向接口的远程体式调用,智能容错和负载均衡以及处事自动注册和发现。
 
2.png

 
Apache Dubbo撑持多种和谈,当用户选择http和谈进行通信时,Apache Dubbo 在接管远程调用的POST请求的时候会执行一个反序列化的把握,当项目包中存在可用的gadgets时,因为安然校验欠妥会导致反序列化执行随意代码。
 
 02 马脚详情
 
马脚理会,起头跟踪

3.png

 
请求传入org.apache.dubbo.rpc.protocol.http.HttpProtocol中的handle.

[size=15]
4.png
[/size]
 
经由进一步跟踪发现其传入org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter
readRemoteInvocation

 [size=15]
5.png
[/size]
 
org.springframework.remoting.rmi.RemoteInvocationSerializingExporter
中,报文中post data部门为ois,全程并没有做任何安然过滤和搜检,直接进行readObject
体式。
 
6.png

 
最终导致呼吁执行:
 
7.png

 
03 影响版本

[b]2.7.0 <= Apache Dubbo <= 2.7.4[/b]
[b]2.6.0 <= Apache Dubbo <= 2.6.7[/b]
[b]Apache Dubbo = 2.5.x[/b]
 
马脚检测仅影响在马脚版本内启用http和谈的用户:
[size=15]<dubbo:protocolname=“http”/>[/size]
 04 措置建议
 
1、 建议用户升级到2.7.5以上:
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5
2、升级体式
Maven dependency
 
8.png

 
具体升级过程可参考官方的文档:https://github.com/apache/dubbo
 
3、如无法快速升级版本,或进展防护更多其他马脚。
 
可使用各云处事器WAF内置的防护规定对该马脚进行防护,措施如下:
1) 购置WAF。
2) 将网站域名添加到WAF中并完成域名接入。
3) 将Web底细防护的状况设置为“反对”模式。
 
 
来源:21CTO综合自网络

扫一扫,在手机阅读、分享本文

0
分享 2020-02-23

0 个评论

要回复文章请先登录注册