漏洞描述:
Apache Dubbo 是一款微服务开发框架,它提供了RPC通信与微服务治理两大关键能力,使应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring 框架无缝集成,Apache Dubbo 某些版本在解码恶意包时存在反序列化漏洞,远程攻击者可利用该漏洞执行任意代码,在3.1.5版本中,由于新增的SerializeSecurityManager类存在缺陷,addToAllow方法未正确过滤黑名单的类,攻击者可能绕过黑名单限制,反序列化任意类,从而远程执行任意代码。
影响版本:
3.1.0<=Apache Dubbo<=3.1.10
3.2.0<=Apache Dubbo<=3.2.4
修复建议:
正式防护方案:
将 org.apache.dubbo:dubbo-common 升级至 3.1.6 及以上版本
将 org.apache.dubbo:dubbo 升级至 3.1.6 及以上版本
官方已修复该漏洞,建议用户更新到安全版本
安全版本:
Apache Dubbo >= 3.1.11
Apache Dubbo >= 3.2.5
下载链接:
https://github.com/apache/dubbo/releases
参考资料:
https://lists.apache.org/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77
http://www.openwall.com/lists/oss-security/2023/12/15/2
原文始发于微信公众号(飓风网络安全):【高危漏洞预警】Apache Dubbo 反序列化漏洞CVE-2023-29234
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论