Apache Dubbo反序列化漏洞CVE-2023-23638

admin 2023年3月10日21:35:41评论215 views字数 1238阅读4分7秒阅读模式
Apache Dubbo反序列化漏洞CVE-2023-23638

漏洞名称:

Apache Dubbo 反序列化漏洞 (CVE-2023-23638)

组件名称:

Apache Dubbo

影响范围:

2.7.0≤Dubbo≤2.7.22,

3.0.0≤Dubbo≤3.0.14,

3.1.0≤Dubbo≤3.1.6

漏洞类型:

反序列化

利用条件:

1、用户认证:未知

2、前置条件:未知

3、触发方式:远程

综合评价:

<综合评定利用难度>:未知

<综合评定威胁等级>:高危,能造成远程代码执行。

官方解决方案:

已发布


漏洞分析

Apache Dubbo反序列化漏洞CVE-2023-23638

组件介绍

Apache Dubbo 是基于 Java 的高性能开源 RPC 框架。其前身是阿里巴巴公司开源的、轻量级的开源 Java RPC 框架,可以和 Spring 框架无缝集成。

Apache Dubbo反序列化漏洞CVE-2023-23638

漏洞简介

2023 年 3 月 10 日,深信服安全团队监测到一则 Apache Dubbo 组件存在反序列化漏洞的信息,漏洞编号:CVE-2023-23638,漏洞威胁等级:高危。

该漏洞是由于由于 Dubbo 在序列化时检查不够全面,攻击者可利用该漏洞,构造恶意数据执行反序列化攻击,最终绕过检查触发反序列化,执行任意代码。

影响范围

Apache Dubbo 广泛应用于各类Java服务,是较为流行的 Java RPC 框架。可能受漏洞影响的资产广泛分布于世界各地。

目前受影响的 Apache Dubbo 版本:

2.7.0≤Dubbo≤2.7.22,

3.0.0≤Dubbo≤3.0.14,

3.1.0≤Dubbo≤3.1.6

解决方案

Apache Dubbo反序列化漏洞CVE-2023-23638

如何检测组件版本


搭建 Apache Dubbo 本地 Maven 管理环境,查询配置文件 pom.xml

Revision 字段,该字段为 Apache Dubbo 对应版本号:


Apache Dubbo反序列化漏洞CVE-2023-23638
Apache Dubbo反序列化漏洞CVE-2023-23638
Apache Dubbo反序列化漏洞CVE-2023-23638

官方修复建议


当前 Apache Dubbo 官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://github.com/apache/dubbo/releases

深信服解决方案


1.风险资产发现

支持对 Apache Dubbo 反序列化漏洞的主动检测,可批量检出业务场景中该事件的受影响资产情况,相关产品如下:

【深信服主机安全检测响应平台CWPP】预计 2023年3 月13 日发布资产检测方案。


2.漏洞主动检测

支持对 Apache Dubbo 反序列化漏洞的主动检测,可批量快速检出业务场景中是否存在漏洞风险,相关产品如下:

【深信服主机安全检测响应平台CWPP】预计 2023 年 3 月 13 日发布检测方案。

【深信服安全托管服务MSS】预计 2023 年 3 月 13 日发布检测方案。

【深信服安全检测与响应平台XDR】预计 2023 年 3 月 13 日发布检测方案。


参考链接

https://cn.dubbo.apache.org/zh-cn/

时间轴


2023/3/10

深信服监测到 Apache Dubbo 反序列化漏洞攻击信息。

2023/3/10

深信服千里目安全技术中心发布漏洞通告。


点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

Apache Dubbo反序列化漏洞CVE-2023-23638


Apache Dubbo反序列化漏洞CVE-2023-23638



原文始发于微信公众号(深信服千里目安全技术中心):Apache Dubbo反序列化漏洞CVE-2023-23638

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月10日21:35:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Apache Dubbo反序列化漏洞CVE-2023-23638http://cn-sec.com/archives/1596877.html

发表评论

匿名网友 填写信息