){kind=link}
Dubbo爆出严重漏洞! 可远程执行恶意代码!(附解决方案)
近日检测到Apache Dubbo官方发布了CVE-2019-17564马脚通知,360灵腾安然实验室判断马脚等级为高,行使难度低,威胁水平高,影响面大。建议使用用户实时安装最新补丁,以免承受黑客冲击。
01 马脚概述
Apche Dubbo是一款高机能、轻量级的开源Java RPC框架。它供给了三大核心能力:面向接口的远程体式调用,智能容错和负载均衡以及处事自动注册和发现。
Apache Dubbo撑持多种和谈,当用户选择http和谈进行通信时,Apache Dubbo 在接管远程调用的POST请求的时候会执行一个反序列化的把握,当项目包中存在可用的gadgets时,因为安然校验欠妥会导致反序列化执行随意代码。
02 马脚详情
马脚理会,起头跟踪
请求传入org.apache.dubbo.rpc.protocol.http.HttpProtocol中的handle.
[size=15]
经由进一步跟踪发现其传入org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter
的readRemoteInvocation
[size=15]
在org.springframework.remoting.rmi.RemoteInvocationSerializingExporter
中,报文中post data部门为ois,全程并没有做任何安然过滤和搜检,直接进行readObject
体式。
最终导致呼吁执行:
03 影响版本
[b]2.7.0 <= Apache Dubbo <= 2.7.4[/b]
[b]2.6.0 <= Apache Dubbo <= 2.6.7[/b]
[b]Apache Dubbo = 2.5.x[/b]
马脚检测仅影响在马脚版本内启用http和谈的用户:
[size=15]<dubbo:protocolname=“http”/>[/size]04 措置建议
1、 建议用户升级到2.7.5以上:
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5
2、升级体式
Maven dependency
具体升级过程可参考官方的文档:https://github.com/apache/dubbo
3、如无法快速升级版本,或进展防护更多其他马脚。
可使用各云处事器WAF内置的防护规定对该马脚进行防护,措施如下:
1) 购置WAF。
2) 将网站域名添加到WAF中并完成域名接入。
3) 将Web底细防护的状况设置为“反对”模式。
来源:21CTO综合自网络
本文为 @ 21CTO 创作并授权 21CTO 发布,未经许可,请勿转载。
内容授权事宜请您联系 webmaster@21cto.com或关注 21CTO 公众号。
该文观点仅代表作者本人,21CTO 平台仅提供信息存储空间服务。
评论
