Dubbo 爆出严重漏洞! 可远程执行恶意代码！（附解决方案）

刺骨的言语ヽ痛彻心扉 2021-08-26 18:14 343阅读 0赞

![format_png][]

链接：https | www.anquanke.com/post/id/198747

近日检测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告，360灵腾安全实验室判断漏洞等级为高，利用难度低，威胁程度高，影响面大。建议使用用户及时安装最新补丁，以免遭受黑客攻击。

## **0x00 漏洞概述** ##

Apche Dubbo是一款高性能、轻量级的开源Java RPC框架。它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡以及服务自动注册和发现。

![format_png 1][]

Apache Dubbo支持多种协议，当用户选择http协议进行通信时，Apache Dubbo 在接受远程调用的POST请求的时候会执行一个反序列化的操作，当项目包中存在可用的 `gadgets`时，由于安全校验不当会导致反序列化执行任意代码。

## **0x01 漏洞详情** ##

漏洞分析，开始跟踪

![format_png 2][]

请求传入 `org.apache.dubbo.rpc.protocol.http.HttpProtocol`中的 `handle`

![format_png 3][]

通过进一步跟踪发现其传入 `org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter`的 `readRemoteInvocation`

![format_png 4][]

在 `org.springframework.remoting.rmi.RemoteInvocationSerializingExporter`中，报文中post data部分为ois，全程并没有做任何安全过滤和检查，直接进行 `readObject`方法

![format_png 5][]

最终导致命令执行![format_png 6][]

## **0x02 影响版本** ##

2.7.0 <= Apache Dubbo <= 2.7.4

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo = 2.5.x

## **0x03 漏洞检测** ##

仅影响在漏洞版本内启用http协议的用户：`<dubbo：protocolname=“http”/>`

## **0x03 处置建议** ##

1、 建议用户升级到2.7.5以上：https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5

2、升级方法 Maven dependency

<properties>
    <dubbo.version>2.7.5</dubbo.version>
    </properties>
    
    <dependencies>
    <dependency>
    <groupId>org.apache.dubbo</groupId>
    <artifactId>dubbo</artifactId>
    <version>${dubbo.version}</version>
    </dependency>
    
    <dependency>
    <groupId>org.apache.dubbo</groupId>
    <artifactId>dubbo-dependencies-zookeeper</artifactId>
    <version>${dubbo.version}</version>
    <type>pom</type>
    </dependency>
    
    </dependencies>

详细升级过程可参考官方的文档:https://github.com/apache/dubbo

--------------------

\-END-

如果看到这里，说明你喜欢这篇文章，请**转发****、点赞**。微信搜索「web\_resource」，欢迎添加小编微信「focusoncode」，每日朋友圈更新一篇高质量技术博文（无广告）。

**↓扫描二维码添加小编↓**

![format_png 7][]

**推****荐****阅****读**

***1. ***[揭秘阿里、腾讯、字节跳动在家办公的区别][Link 1]

***2. ***[前后端分离开发，RESTful 接口应该这样设计][RESTful]

***3.*** [Spring Boot + Vue 如此强大？][Spring Boot _ Vue]

***4. ***[如何获取靠谱的新型冠状病毒疫情][Link 2]

![format_png 8][]

[format_png]: /images/20210730/c7a2fcd74eec41caae04f7b6e58ae5e9.png
[format_png 1]: /images/20210730/9f819f5cc4c840ef8de99e52c9a0fa7a.png
[format_png 2]: /images/20210730/53aae2a526da4ab3b362d87b9038b0d4.png
[format_png 3]: /images/20210730/b8d9505c64ca4a4f95dc73b13a6fa455.png
[format_png 4]: /images/20210730/deb577d49dea43248538eef5e96b5ec8.png
[format_png 5]: /images/20210730/c55ee266716340dba3dedc1f87ce99f6.png
[format_png 6]: /images/20210730/b37a90f230ac4e63be8a00a0c40da54f.png
[format_png 7]: /images/20210730/436fb1e99602461c8effc802faf10eda.png
[Link 1]: https://blog.csdn.net/qq_37217713/article/details/104351934
[RESTful]: https://blog.csdn.net/qq_37217713/article/details/104351943
[Spring Boot _ Vue]: https://blog.csdn.net/qq_37217713/article/details/104337580
[Link 2]: http://mp.weixin.qq.com/s?__biz=Mzg2MjEwMjI1Mg%3D%3D&chksm=ce0e57aff979deb91c3492fcaf2270414ae2c87a24dd2891387f91918aff50d9ba5eab5b8b75&idx=1&mid=2247491628&scene=21&sn=8795f58c1c90ce6ebfb6b64d8fae2595#wechat_redirect
[format_png 8]: /images/20210730/25922834afe5490fa325f71959d18e61.png