Dubbo爆出嚴重漏洞! 可遠程執行惡意程式碼！（附解決方案）

• 2020 年 2 月 21 日
• 筆記

近日檢測到Apache Dubbo官方發布了CVE-2019-17564漏洞通告，360靈騰安全實驗室判斷漏洞等級為高，利用難度低，威脅程度高，影響面大。建議使用用戶及時安裝最新修補程式，以免遭受黑客攻擊。

01

漏洞概述

Apche Dubbo是一款高性能、輕量級的開源Java RPC框架。它提供了三大核心能力：面向介面的遠程方法調用，智慧容錯和負載均衡以及服務自動註冊和發現。

Apache Dubbo支援多種協議，當用戶選擇http協議進行通訊時，Apache Dubbo 在接受遠程調用的POST請求的時候會執行一個反序列化的操作，當項目包中存在可用的gadgets時，由於安全校驗不當會導致反序列化執行任意程式碼。

02

漏洞詳情

漏洞分析，開始跟蹤

請求傳入org.apache.dubbo.rpc.protocol.http.HttpProtocol中的handle

通過進一步跟蹤發現其傳入

org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter的readRemoteInvocation

在org.springframework.remoting.rmi.RemoteInvocationSerializingExporter中，報文中post data部分為ois，全程並沒有做任何安全過濾和檢查，直接進行readObject方法

最終導致命令執行

03

影響版本

2.7.0 <= Apache Dubbo <= 2.7.4

2.6.0 <= Apache Dubbo <= 2.6.7

Apache Dubbo = 2.5.x

漏洞檢測

僅影響在漏洞版本內啟用http協議的用戶：<dubbo：protocolname=「http」/>

04

處置建議

1、 建議用戶升級到2.7.5以上：

https://github.com/apache/dubbo/releases/tag/dubbo-2.7.5

2、升級方法

Maven dependency

詳細升級過程可參考官方的文檔：

https://github.com/apache/dubbo

3、如無法快速升級版本，或希望防護更多其他漏洞。

可使用各雲伺服器WAF內置的防護規則對該漏洞進行防護，步驟如下：

1) 購買WAF。

2) 將網站域名添加到WAF中並完成域名接入。

3) 將Web基礎防護的狀態設置為「攔截」模式。

來源 | https://urlify.cn/rii2ye

——The End——