Apache Dubbo漏洞收集与整理
Apache Dubbo漏洞收集与整理
原创作者:陈小兵 2023-05-06 14:15:10安全 由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,攻击者成功利用此漏洞可在目标系统上执行恶意程序代码,甚至接管服务所在服务器。Apache Dubbo有漏洞编号的漏洞
(1)Apache Dubbo 反序列化漏洞(CVE-2022-39198)(2)Apache Dubbo存在远程代码执行漏洞(CVE-2021-32824)(3)CVE-2021-36162(源于CVE-2021-30180)Yaml 反序列化(4)CVE-2021-36163
1.1、Apache Dubbo 反序列化漏洞(CVE-2022-39198)
漏洞描述:
由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,攻击者成功利用此漏洞可在目标系统上执行恶意程序代码,甚至接管服务所在服务器。
漏洞影响版本:
Apache Dubbo hessian-lite <=3.2.12
Apache Dubbo 2.7.x <=2.7.17
Apache Dubbo 3.0.x <=3.0.11
Apache Dubbo 3.1.x <=3.1.0
漏洞在野情况:
exp暂未公开。
漏洞修复方式:
Apache已发布修复了此漏洞的更新版本,可通过下载官方的版本更新修复漏洞,下载地址如下:https://github.com/apache/dubbo/tags
注:此通报无漏洞编号
1.2、关于Apache Dubbo Hession反序列化漏洞的通报
1.产品描述:Apache Dubbo hessian-lite是一款微服务开发框架
2.影响产品或组件及版本:Apache Dubbo 2.7.x版本:<= 2.7.17,Apache Dubbo 3.0.x版本:<= 3.0.11,Apache Dubbo 3.1.x版本:<= 3.1.0
3.技术细节表述: 在Apache Dubbo hessian-lite 3.2.12及之前版本存在反序列化漏洞,未经授权的攻击者可通过构造恶意请求在目标系统上执行任意代码。
4.修补措施:目前官方已在高版本中修复了该漏洞,受影响用户可以升级到Dubbo hessian-lite 版本 >=3.2.13。
5.漏洞来源:https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk
1.3、Apache Dubbo存在远程代码执行漏洞(CVE-2021-32824)
发布时间:来源: zhangyusen@zqfae.com
1.产品描述:Apache Dubbo是美国阿帕奇(Apache)基金会的一款基于Java的轻量级RPC(远程过程调用)框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。
2.影响产品或组件及版本(必填):2.6.10 和 2.7.10之前的版本均受影响
3.受影响资产情况:通过资产测绘系统fofa发现,全球共14,291个使用记录,其中第一名中国10435个,第二名美国1723个、第三名新加坡114个。
4.技术细节表述:2.6.10和2.7.10之前的版本容易通过Telnet处理程序中的任意bean操作执行预授权远程代码。Dubbo主服务端口可用于访问Telnet处理程序,它提供一些基本方法来收集服务公开的提供者和方法的信息,甚至可以允许关闭服务。此端点不受保护。此外,可以使用“invoke”处理程序调用提供程序方法。此处理程序使用FastJson的安全版本来处理调用参数。然而,生成的列表稍后将使用“PojoUtils.realize”进行处理,该列表可用于实例化任意类并调用其setter。尽管FastJson通过默认阻止列表得到了适当的保护,但“PojoUtils.realize”没有,攻击者可以利用它实现远程代码执行。
5.修补措施:官方已发布新版本,链接为:https://github.com/apache/dubbo
6.漏洞来源:https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/
1.4、Apache Dubbo 远程代码执行漏洞预警
1. 概述
2022年10月19日,中测安华必达实验室发现Apache披露了名为“Apache Dubbo 远程代码执行漏洞”的高风险漏洞,攻击者可利用该漏洞通过构造特定请求在目标服务器上执行恶意代码。中测安华必达实验室从该漏洞的基本信息、漏洞影响、修复情况等多方面信息初步研判,该漏洞危害风险较高影响较大,提醒用户及时采取消控措施。
2. 漏洞分析
2.1 漏洞信息概要
漏洞名称
Apache Dubbo 远程代码执行漏洞
漏洞编号
CNNVD编号:暂无
CNVD编号:暂无
CVE编号:CVE-2022-39198
漏洞类型:代码执行
危害等级:高危
CVSS 3.0:8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
相关厂商:Apache
受影响产品:Apache Dubbo
厂商修复情况
厂商已修复
注:漏洞类型与危害等级参考[信息安全技术 安全漏洞分类 GB/T 33561-2017]
2.2 漏洞详情描述
Apache Dubbo是一款微服务框架,为大规模微服务实践提供高性能RPC通信、流量治理、可观测性等解决方案,涵盖Java、Golang等多种语言 SDK 实现。
在Apache Dubbo中发现了一个高危漏洞。受此问题影响的是未知功能。对未知输入的操作会导致权限提升漏洞。应用程序会反序列化不受信任的数据,而无需充分验证生成的数据是否有效。受影响的是机密性、完整性和可用性。
2.3 漏洞影响评估
2.3.1 受影响产品范围
hessian-lite<= 3.2.12
Apache Dubbo 2.7.x <= 2.7.17
Apache Dubbo 3.0.x <= 3.0.11
Apache Dubbo 3.1.x <= 3.1.0
2.3.2 漏洞危害评估
根据Oracle官方信息,远程攻击者成功利用该漏洞后可导致代码执行。中测安华必达实验室尚未发现针对该漏洞的利用工具。中测安华必达实验室对该漏洞影响情况评估后认为,相关漏洞极有可能存在被攻击者进一步利用的风险。鉴于使用Apache Dubbo产品的用户群体较大,建议尽快去Apache官方网站下载升级补丁或更新至安全版本。
中测安华必达实验室将持续对此漏洞开展分析,及时更新相关信息,并通告提醒用户。
3. 修复建议
3.1 厂商修复建议
Apache官方公告信息给出详细修复建议,获取链接如下:
https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk
4.参考链接
https://www.openwall.com/lists/oss-security/2022/10/18/3
5.时间线
Apache Dubbo Hession反序列化漏洞
1.5、Apache Dubbo Hession反序列化漏洞
1.系统介绍
Apache Dubbo是一款高性能、轻量级的开源服务框架,提供了RPC通信与微服务处理两大关键能力。近日,Apache发布安全公告,修复了影响Apache Dubbo多个版本的一个反序列化漏洞(CVE-2022-39198)。由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,成功利用此漏洞可在目标系统上执行恶意代码。
2.漏洞描述
2022年10月20日,我司安全团队监测到Apache Dubbo Hession反序列化漏洞,攻击者可利用该漏洞获取服务器权限,鉴于这些漏洞影响范围极大,请相关用户尽快采取措施进行防护。
3.危害影响
受影响版本
●Apache Dubbo 2.7.x版本:<= 2.7.17
●Apache Dubbo 3.0.x版本:<= 3.0.11
●Apache Dubbo 3.1.x版本:<= 3.1.0
不受影响版本
●Apache Dubbo 2.7.18
●Apache Dubbo 3.0.12
●Apache Dubbo 3.1.1
4.修复建议
正式方案:
目前该漏洞已经修复,受影响用户可以升级到Dubbo hessian-lite版本>=3.2.13;或升级Apache Dubbo到以下版本:
Apache Dubbo 2.7.x版本:>= 2.7.18
Apache Dubbo 3.0.x版本:>= 3.0.12
Apache Dubbo 3.1.x版本:>= 3.1.1
Apache Dubbo下载链接:
https://github.com/apache/dubbo/tags
Dubbo hessian-lite下载链接:
https://github.com/apache/dubbo-hessian-lite/releases
1.6、关于Apache Dubbo多个高危漏洞(CVE-2021-36162、CVE-2021-36163)的预警提示
1.漏洞详情
Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。近日披露Apache Dubbo多个高危漏洞:
CVE-2021-36162 中,Apache Dubbo多处使用了yaml.load,攻击者在控制如ZooKeeper注册中心后可上传恶意配置文件从而造成了Yaml反序列化漏洞。
CVE-2021-36163 中,Apache Dubbo中使用了不安全的Hessian 协议,攻击者可以利用此漏洞触发反序列化,造成远程代码执行漏洞。
建议受影响用户及时更新至安全版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
2.影响范围
2.7.0<= Dubbo <= 2.7.12
3.0.0<= Dubbo <= 3.0.1
3.修复建议
升级 Apache Dubbo 至最新版本。
责任编辑:庞桂玉 来源:51CTO 网络安全推荐系统
电脑公司Ghost Win8.1 x32 精选纯净版2022年7月(免激活) ISO镜像高速下载
语言:中文版系统大小:2.98GB系统类型:Win8电脑公司Ghost Win8.1x32位纯净版V2022年7月版本集成了自2022流行的各种硬件驱动,首次进入系统即全部硬件已安装完毕。电脑公司Ghost Win8.1x32位纯净版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,精心挑选的系统维护工具,加上绿茶独有
微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载
语言:中文版系统大小:5.13GB系统类型:Win11微软Win11原版22H2下载_Win11GHOST 免 激活密钥 22H2正式版64位免费下载系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Win11 64位 Office办公版(免费)优化 1、保留 Edge浏览器。 2、隐藏“操作中心”托盘图标。 3、保留常用组件(微软商店,计算器,图片查看器等)。 5、关闭天气资讯。
Win11 21H2 官方正式版下载_Win11 21H2最新系统免激活下载
语言:中文版系统大小:4.75GB系统类型:Win11Ghost Win11 21H2是微软在系统方面技术积累雄厚深耕多年,Ghost Win11 21H2系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。Ghost Win11 21H2是微软最新发布的KB5019961补丁升级而来的最新版的21H2系统,以Windows 11 21H2 22000 1219 专业版为基础进行优化,保持原汁原味,系统流畅稳定,保留常用组件
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
相关文章
- 利用Win8自带的画图工具为数码照片插上文字
- Win10系统360安全桌面出现崩溃无法卸载怎么办 Win10无法卸载360安全桌面的解决方法
- win7音频服务未运行导致播放视频没声音的解决办法
- 善用快捷键,玩转Windows 7 便签程序
- Win10安装KB3147458补丁后商店应用无法打开怎么办?
- 通过connectify在windows7下创建无线wifi热点(解决Y460失败方法)
- 最新2021Windows10专业版永久激活密钥/神key推荐 附激活工具
- Win10桌面图标怎么去掉小盾牌?
- Ubuntu上FTP服务器程序vsftpd安装配置全流程攻略
- Centos5.如何安装GUI界面?
- Win10 10123预览版将加入备份和恢复功能
- CentOS 6.8 服务器系统安装配置图解教程
- win8.1系统如何自动清理C盘垃圾? win8.1系统每天自动清理C盘垃圾的两个方法
- Win10节电模式怎么设置?Win10设置节电模式的方法
- Linux系统下基本的帮助查询命令小结
- win10桌面图标怎么设置像文件夹中的图标一样显示? 8种显示形式介绍
- Win7笔记本触摸板怎么关闭?Win7关闭笔记本触摸板的方法
- efi shell是什么?进入EFI Shell界面方法
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1电脑公司 GHOST Windows10 32位系统优化通用版 V2021.01 下载
- 2Win10 64位最稳定版本下载_Win10 64位最稳定版本(永久激活)下载
- 3电脑公司 GHOST WIN7 SP1 X86 电脑城装机版 V2018.03(32位) 下载
- 4番茄花园Ghost Win7 64位 王牌装机版 v2021.05系统最新下载
- 5雨林木风系统 Ghost XP SP3 元旦特别 装机版 YN2021年1月 ISO镜像高速下载
- 6萝卜家园Win10 64位专业版下载_萝卜家园Win10专业版最新免费V2021.05
- 7番茄花园Ghost Win8.1 (X32) 纯净版2019年12月(免激活) ISO镜像免费下载
- 8深度技术GHOST WIN7 SP1 喜迎鼠年版X64 v2020.01免费最新下载
- 9新雨林木风 Ghost Win7 SP1 装机版 2018年5月(32位) 提供下载
- 10最好的win10系统1909下载-最好的win10系统1909镜像下载 v2023