Apache Dubbo 远程代码执行漏洞 CVE-2020-11995 – 作者:深信服千里目安全实验室

一、漏洞分析

1.1 Apache Dubbo组件介绍

Apache Dubbo是一款高性能、轻量级的开源java Rpc分布式服务框架。核心功能有面向接口的远程过程调用、集群容错和负载均衡、服务自动注册与发现。其特点主要在以下几个方面。使用分层的架构模式,使得各个层次之间实现最大限度的解耦。将服务抽象为服务提供者与服务消费者两个角色。

1.2 漏洞描述

Apache Dubbo Hessian2协议处理模块中存在一个反序列化漏洞,该漏洞中Hessian2反序列化HashMap对象时,该类中的一些函数在经过一系列调用时可以进行代码执行。例如EqualBean中的HashCode方法,通过构造一些特殊的请求,可以使其加载远程恶意类并执行远程代码。

1.3 漏洞复现

搭建Apache Dubbo 环境,向服务器中传入恶意数据,在目标服务器上执行任意命令,效果如图:

图片[1]-Apache Dubbo 远程代码执行漏洞 CVE-2020-11995 – 作者:深信服千里目安全实验室-安全小百科

二、影响范围

目前受影响的Apache Dubbo版本:

Apache Dubbo 2.7.0 – 2.7.7

Apache Dubbo 2.6.0 – 2.6.8

Apache Dubbo 2.5.x

三、修复建议

Apache Dubbo 新的版本已经防御此漏洞,请受漏洞影响的用户更新到2.6.9或者2.7.8及以后,下载链接:

https://github.com/apache/dubbo/releases/tag/dubbo-2.6.9

https://github.com/apache/dubbo/releases/tag/dubbo-2.7.8

四、时间轴

2020/8/16:Apache Dubbo披露了该远程代码执行漏洞。

2020/8/17:深信服千里目安全实验室发布漏洞安全通告。

2020/8/18:深信服千里目安全实验室复现漏洞并发布产品解决方案。

五、参考链接

https://github.com/apache/dubbo/releases/tag/dubbo-2.6.9

https://github.com/apache/dubbo/releases/tag/dubbo-2.7.8

来源:freebuf.com 2020-08-18 20:26:41 by: 深信服千里目安全实验室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论