0x00 漏洞背景
2020年2月12日,360CERT监测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,漏洞等级中危。
Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。Apache Dubbo支持多种协议,官方默认为 Dubbo 协议,当用户选择http协议进行通信时,Apache Dubbo 在接受来自消费者的远程调用的POST请求的时候会执行一个反序列化的操作,由于没有任何安全校验,于是可以造成反序列化执行任意代码
0x01 风险等级
360CERT对该漏洞进行评定
评定方式 | 等级 |
---|---|
威胁等级 | 中危 |
影响面 | 一般 |
360CERT建议使用Apache Dubbo用户及时安装最新补丁,以免遭受黑客攻击。
0x02 漏洞详情
当用户选择http协议进行通信时,Apache Dubbo 在接受来自消费者的远程调用的POST请求的时候会执行一个反序列化的操作,由于没有任何安全校验,于是可以造成反序列化执行任意代码
0x03 影响版本
- 2.7.0 <= Apache Dubbo <= 2.7.4
- 2.6.0 <= Apache Dubbo <= 2.6.7
- Apache Dubbo 2.5.x 的所有版本
0x04 修复建议
- 通用修补建议:升级到2.7.5版本,https://github.com/apache/dubbo/tree/dubbo-2.7.5
- 临时修补建议:禁用http协议
0x05 相关空间测绘数据
360安全大脑-Quake网络空间测绘系统通过对全网资产测绘
可以发现 Apache Dubbo框架在国内得到广泛的使用。
0x06 产品侧解决方案
360城市级网络安全监测服务
360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类漏洞进行监测,请用户联系相关产品区域负责人获取对应产品。
0x07 时间线
2020-02-10 官方发布漏洞通告
2020-02-12 360-CERT发布漏洞通告