安全研究 - Java - Apache Dubbo

Dubbo Provider默认反序列漏洞(CVE-2020-1948)

 

Dubbo Provider有4种方式:XML配置,properties方式配置,API调用方式配置,注解方式配置

 

前置条件:  NettyServer(默认端口:12345) 端口对外开放

 

补丁

https://github.com/apache/dubbo/commit/5ad186fa874d9f0dfb87b989e54c1325d39abd40

 

CVE-2019-17564

2.7.0 <= Apache Dubbo <= 2.7.4.1

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo = 2.5.x

 

当用户选择启用HTTP协议进行通信时,Apache Dubbo在接受来自攻击者发出的含有恶意代码的POST请求时将执行反序列化操作,由于缺乏安全检查,因此可能导致远程代码执行。

启用HTTP协议的相关设置 <dubbo:protocol name="http" />

dubbo的启动需要依赖zookeeper(默认端口:2181)

 

需要制动Service路径如:

http://[IP]:[Port]/org.apache.dubbo.samples.http.api.DemoService

 

 

 

posted @ 2020-08-07 12:19  7hang  阅读(212)  评论(0编辑  收藏  举报