【高危漏洞预警】Apache Dubbo 反序列化漏洞CVE-2023-29234

漏洞描述:

Apache Dubbo 是一款微服务开发框架，它提供了RPC通信与微服务治理两大关键能力,使应用可通过高性能的 RPC 实现服务的输出和输入功能，可以和 Spring 框架无缝集成,Apache Dubbo 某些版本在解码恶意包时存在反序列化漏洞，远程攻击者可利用该漏洞执行任意代码,在3.1.5版本中，由于新增的SerializeSecurityManager类存在缺陷，addToAllow方法未正确过滤黑名单的类，攻击者可能绕过黑名单限制，反序列化任意类，从而远程执行任意代码。

影响版本:

3.1.0<=Apache Dubbo<=3.1.10

3.2.0<=Apache Dubbo<=3.2.4

修复建议:

正式防护方案:
将 org.apache.dubbo:dubbo-common 升级至 3.1.6 及以上版本

将 org.apache.dubbo:dubbo 升级至 3.1.6 及以上版本

官方已修复该漏洞，建议用户更新到安全版本

安全版本:
Apache Dubbo >= 3.1.11
Apache Dubbo >= 3.2.5

下载链接：
https://github.com/apache/dubbo/releases

参考资料:
https://lists.apache.org/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77

http://www.openwall.com/lists/oss-security/2023/12/15/2

原文始发于微信公众号（飓风网络安全）：【高危漏洞预警】Apache Dubbo 反序列化漏洞CVE-2023-29234