CVE-2019-17564:Apache Dubbo反序列化漏洞通告
2020-02-12 19:53

报告编号:B6-2020-021203

报告来源:360-CERT

报告作者:360-CERT

更新日期:2020-02-12

0x00 漏洞背景

2020年2月12日,360CERT监测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,漏洞等级中危。

Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。Apache Dubbo支持多种协议,官方默认为 Dubbo 协议,当用户选择http协议进行通信时,Apache Dubbo 在接受来自消费者的远程调用的POST请求的时候会执行一个反序列化的操作,由于没有任何安全校验,于是可以造成反序列化执行任意代码

0x01 风险等级

360CERT对该漏洞进行评定

评定方式 等级
威胁等级 中危
影响面 一般

360CERT建议使用Apache Dubbo用户及时安装最新补丁,以免遭受黑客攻击。

0x02 漏洞详情

当用户选择http协议进行通信时,Apache Dubbo 在接受来自消费者的远程调用的POST请求的时候会执行一个反序列化的操作,由于没有任何安全校验,于是可以造成反序列化执行任意代码

public_image

0x03 影响版本

  • 2.7.0 <= Apache Dubbo <= 2.7.4

  • 2.6.0 <= Apache Dubbo <= 2.6.7

  • Apache Dubbo 2.5.x 的所有版本

0x04 修复建议

0x05 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘

enter description here

可以发现 Apache Dubbo框架在国内得到广泛的使用。

0x06 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类漏洞进行监测,请用户联系相关产品区域负责人获取对应产品。

360AISA全流量威胁分析系统

360AISA基于360海量安全大数据和实战经验训练的模型,进行全流量威胁检测,实现实时精准攻击告警,还原攻击链。

目前产品具备该漏洞/攻击的实时检测能力。

0x07 时间线

2020-02-10 官方发布漏洞通告

2020-02-12 360-CERT发布漏洞通告

0x08 参考链接

  1. https://www.mail-archive.com/dev@dubbo.apache.org/msg06225.html