当前位置 > 首页 > 国内新闻 > 正文

CVE-2019-17564 : Apache Dubbo反序列化漏洞处置通告
  • 发布时间:2020-03-01
  • www.bigsuckhoe.com
  • 最近,发现阿帕奇杜博发布了CVE-2019-漏洞通知。360灵腾安全实验室已确定漏洞级别高,利用难度低,威胁级别高,影响范围大。建议用户及时安装最新补丁,以避免黑客攻击。

    0x00漏洞概述

    Apche Dubbo是一个高性能、轻量级开源的Java RPC框架。它提供了三个核心功能:面向接口的远程方法调用、智能容错和负载平衡,以及自动服务注册和发现。

    Apache Dubbo支持多种协议。当用户选择http协议进行通信时,Apache Dubbo将在接受来自远程调用的POST请求时执行反序列化操作。当项目包中有一个可用时,不正确的安全检查将导致反序列化执行任意代码。

    0x01漏洞详细信息

    漏洞分析,通过进一步跟踪,开始跟踪传入请求

    中的

    并发现传入的

    在消息中。消息的发布数据部分是ois,整个过程中没有进行安全过滤和检查。直接执行方法

    最终导致命令执行

    0x02受影响的版本

    2 . 7 . 0=Apache Dubbo=2 . 7 . 4

    2 . 6 . 0=Apache Dubbo=2 . 6 . 7

    Apache Dubbo=2 . 5 . x

    0x03漏洞检测

    只影响启用了漏洞Http协议的用户版本:

    0x 03处置建议用户升级到2.7.5以上:升级方法maven dependency

    2 . 7 . 5 Org . Apache阿帕奇。杜博杜博-依赖-动物园管理员$ {杜博。版本} POM详细升级流程可参考官方文件:产品线解决方案

    构建基于360安全脑的自适应安全防御系统,利用360年内部安全攻防实践经验,以安全大数据为核心。利用360独特的威胁情报构建准确的威胁检测和自动分析引擎能力,满足客户在不同场景下的威胁分析需求,解决客户的实际网络安全问题。

    360AISA全流威胁分析系统

    360AISA基于360海量安全大数据模型和实战经验训练进行全流威胁检测,实现实时准确的攻击报警和恢复攻击链。

    360AISA产品对此漏洞具有实时检测能力,建议用户尽快将检测模型升级到最新版本。

    360-day阶段资产威胁和漏洞管理系统

    360-day阶段快速全面地发现与目标相关的资产,识别资产属性,从黑客的角度扫描安全漏洞和风险,并首先警告行业0-day漏洞,以帮助用户准确定位影响区域,并基于资产建立漏洞和风险的完整生命周期管理。

    当前产品支持此漏洞检测并提供修复建议。请将武器库升级到最新版本。

    360Hu 'an服务器安全管理系统

    360Hu 'an是基于CWPP模型的主机安全管理产品。它为客户端服务器集群提供了三种核心安全功能:安全增强、主动防御和入侵监控。它持续抵御黑客攻击,并确保服务器集群的安全稳定运行。

    当前产品具有检测和防御此漏洞的能力,并提供了增强建议。请将规则升级到最新版本。

    360攻击欺骗防御系统

    360幻影是基于欺骗防御技术。它部署高度模拟的欺骗服务,这是黑客扰乱攻击者、延迟攻击过程和支持跟踪攻击者身份的唯一途径。

    目前,产品对应的蜜罐服务可以模拟和模拟漏洞,检测和识别相关的攻击。请联系技术支持人员获取蜜罐服务升级包。

    如需购买或试用上述产品,请联系

    0x05参考

    鲤城资讯网 版权所有© www.bigsuckhoe.com 技术支持:鲤城资讯网 | 网站地图