Apacche Dubbo 反序列化漏洞
早在2019年開發者社區就有談到這個 http 協議漏洞問題,近期360靈騰安全實驗室判斷漏洞等級爲高,利用難度低,威脅程度高。 建議升級 dubbo 版本,避免遭受黑客攻擊。
漏洞描述
Unsafe deserialization occurs within a Dubbo application which has HTTP remoting enabled. An attacker may submit a POST request with a Java object in it to completely compromise a Provider instance of Apache Dubbo, if this instance enables HTTP.
簡單的說,就是HTTP remoting 開啓的時候,存在反序列化漏洞。
Apache Dubbo在接受來自消費者的遠程調用請求的時候存在一個不安全的反序列化行爲,最終導致了遠程任意代碼執行。
影響版本:
Dubbo 2.7.0 to 2.7.6
Dubbo 2.6.0 to 2.6.7
Dubbo all 2.5.x versions
漏洞復現
- 創建一個 Dubbo 服務提供者代碼。
暴出的漏洞是 http 協議的,故使用 http 的 demo 來重現
<dubbo:protocol name="http" port="8080" server="tomcat" />
注: 可自己簡單寫一個,也可官網下載 demo