CVE-2019-17564:Apache Dubbo反序列化漏洞通告

阅读量90226

发布时间 : 2020-02-12 19:29:02

 

0x00 漏洞背景

2020年2月12日,360CERT监测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,漏洞等级中危。

Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。Apache Dubbo支持多种协议,官方默认为 Dubbo 协议,当用户选择http协议进行通信时,Apache Dubbo 在接受来自消费者的远程调用的POST请求的时候会执行一个反序列化的操作,由于没有任何安全校验,于是可以造成反序列化执行任意代码

 

0x01 风险等级

360CERT对该漏洞进行评定

评定方式 等级
威胁等级 中危
影响面 一般

360CERT建议使用Apache Dubbo用户及时安装最新补丁,以免遭受黑客攻击。

 

0x02 漏洞详情

当用户选择http协议进行通信时,Apache Dubbo 在接受来自消费者的远程调用的POST请求的时候会执行一个反序列化的操作,由于没有任何安全校验,于是可以造成反序列化执行任意代码

public_image

 

0x03 影响版本

  • 2.7.0 <= Apache Dubbo <= 2.7.4
  • 2.6.0 <= Apache Dubbo <= 2.6.7
  • Apache Dubbo 2.5.x 的所有版本

 

0x04 修复建议

 

0x05 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘

enter description here

可以发现 Apache Dubbo框架在国内得到广泛的使用。

 

0x06 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类漏洞进行监测,请用户联系相关产品区域负责人获取对应产品。

 

0x07 时间线

2020-02-10 官方发布漏洞通告

2020-02-12 360-CERT发布漏洞通告

 

0x08 参考链接

  1. https://www.mail-archive.com/dev@dubbo.apache.org/msg06225.html

本文由360CERT安全通告原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/198754

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360CERT安全通告
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66