安全研究 - Java - Apache Dubbo
Dubbo Provider默认反序列漏洞(CVE-2020-1948)
Dubbo Provider有4种方式:XML配置,properties方式配置,API调用方式配置,注解方式配置
前置条件: NettyServer(默认端口:12345) 端口对外开放
补丁
https://github.com/apache/dubbo/commit/5ad186fa874d9f0dfb87b989e54c1325d39abd40
CVE-2019-17564
2.7.0 <= Apache Dubbo <= 2.7.4.1
2.6.0 <= Apache Dubbo <= 2.6.7
Apache Dubbo = 2.5.x
当用户选择启用HTTP协议进行通信时,Apache Dubbo在接受来自攻击者发出的含有恶意代码的POST请求时将执行反序列化操作,由于缺乏安全检查,因此可能导致远程代码执行。
启用HTTP协议的相关设置 <dubbo:protocol name="http" />
dubbo的启动需要依赖zookeeper(默认端口:2181)
需要制动Service路径如:
http://[IP]:[Port]/org.apache.dubbo.samples.http.api.DemoService