Apache Dubbo 反序列化漏洞

  • 内容
  • 相关


Image


0x01漏洞概述

Apache Dubbo是一个分布式框架,致力于提供高性能透明化的 RPC 远程服务调用方案,以及 SOA 服务治理方案,它在实际应用场景中主要负责解决分布式的相关需求。

Apache Dubbo 存在反序列化漏洞,Apache Dubbo 支持多种协议,官方推荐使用 Dubbo协议,此漏洞是属于 Apache Dubbo HTTP 协议中的一个反序列化漏洞,主要原因在于当Apache Dubbo启用HTTP协议之后,Apache Dubbo在接受来自消费者的远程调用请求的时候存在一个不安全的反序列化行为,最终导致了远程任意代码执行。

0x02漏洞编号

CVE-2019-17564

0x03危险级别

高危


0x04影响版本


2.7.0 <= Apache Dubbo <= 2.7.4

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo = 2.5.x


0x05漏洞验证

暂无 POC/EXP。


0x06修复建议


目前厂商已发布新版本修复漏洞,请尽快安装和应用更新。

https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5




本文标签:

版权声明:若无特殊注明,本文皆为《舜哥哥吖》原创,转载请保留文章出处。

本文链接:Apache Dubbo 反序列化漏洞 - https://www.shungg.cn/post/271

发表评论

电子邮件地址不会被公开。 必填项已用*标注