【漏洞通告】CVE-2022-39198 Apache Dubbo Hession反序列化漏洞

最新推荐文章于 2023-01-31 15:54:07 发布
原创 最新推荐文章于 2023-01-31 15:54:07 发布 · 2.4k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#dubbo #安全

目录

0x01 漏洞详情

0x02 影响范围

0x03 修复建议

0x04 参考链接

0x01 漏洞详情

        Apache Dubbo是一款高性能、轻量级的开源服务框架,提供了RPC通信与微服务处理两大关键能力。10月18日,Apache发布安全公告,修复了影响Apache Dubbo多个版本的一个反序列化漏洞(CVE-2022-39198)。由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,成功利用此漏洞可在目标系统上执行恶意代码。

0x02 影响范围

        Apache Dubbo 2.7.x版本:<= 2.7.17

        Apache Dubbo 3.0.x版本:<= 3.0.11

        Apache Dubbo 3.1.x版本:<= 3.1.0

0x03 修复建议 

        目前该漏洞已经修复,受影响用户可以升级到Dubbo hessian-lite 版本 >=3.2.13;或升级Apache Dubbo到以下版本:

        Apache Dubbo 2.7.x版本:>= 2.7.18

        Apache Dubbo 3.0.x版本:>= 3.0.12

        Apache Dubbo 3.1.x版本:>= 3.1.1

Apache Dubbo下载链接:

        https://github.com/apache/dubbo/tags

Dubbo hessian-lite下载链接:

        https://github.com/apache/dubbo-hessian-lite/releases

0x04 参考链接

【漏洞通告】Apache Dubbo Hession反序列化漏洞(CVE-2022-39198) (qq.com)icon-default.png?t=M85Bhttps://mp.weixin.qq.com/s?__biz=MzUxMDQzNTMyNg==&mid=2247501197&idx=2&sn=8c67a300440359cd313b5180a7afce7a&chksm=f9018f1cce76060a1074ac65eea382b088f36a5e160411903089390f4416c7bfff9ccccc76b4&scene=178&cur_album_id=1907628428967641089#rd

CVE-2020-1948 Apache dubbo远程命令执行漏洞
yyj1781572的博客
04-02 2002
通过该实验了解漏洞产生的原因,掌握基本的漏洞利用及使用方法,并能给出加固方案。
CVE-2022-39198 Apache Dubbo Hession Deserialization分析
include_voidmain的博客
12-29 1542
我们跟进一下这种利用方式,我们这里选用的环境是单独的一个dubbo依赖的环境(2.7.16版本)沿用以前的思路,通过dubbo库依赖的fastjson库,进行任意getter方法的调用,进行调用上图中的getDefaultPrintService方法进行利用。这图是XString#equals方法中的代码,其中我们是通过HashMap反序列化的方法,进行元素之间的equals方法的调用,这里的obj2参数,只有是一个JSONObject对象,才会调用其toString方法。
Apache Dubbo Hession反序列化漏洞CVE-2022-39198
huofuman960209的博客
11-07 2590
Apache Dubbo组件存在Hession反序列化漏洞,该漏洞是由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,利用此漏洞可在目标系统上执行恶意代码,最终获取服务器最高权限,漏洞编号:CVE-2022-39198漏洞威胁等级:高危。
Apache Dubbo hessian-lite 远程代码执行漏洞
whoami
01-20 4984
0x1 漏洞背景 CVE: CVE-2021-43297 受影响的Apache Dubbo版本: Apache Dubbo 2.6.x < 2.6.12 Apache Dubbo 2.7.x < 2.7.15 Apache Dubbo 3.0.x < 3.0.5 简述:Apache Dubbo是一款微服务开发框架,它提供了RPC通信与微服务治理两大关键能力。该漏洞是由于在Dubbohessian-lite中存在反序列化漏洞,未经身份验证的攻击者可利用该漏洞在目标系统上远程
CVE-2022-33980 Apache Commons Configuration 远程命令执行漏洞分析
Jinmindong
01-31 1079
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
Apache Dubbo 高危漏洞
zb_3Dmax的博客
09-06 917
具体是因为 Apache Dubbo hessian-lite 3.2.11 及之前的版本存在反序列化漏洞,而这个 hessina-lite 恰巧就是 Dubbo 默认的序列化方法。其实这个漏洞爆出来已经很多天了,影响面没 Log4j2 大,所以没那么“火”,不过也是个高危漏洞。今天又看到了个 Apache Dubbo 的高危漏洞通告,好家伙一看这版本,我们的应用有漏洞…所以用 Dubbo 的同学快去排查下自己的应用,看看是否受到影响。又是一个可以远程代码执行的漏洞漏洞的类型是因为反序列化的问题。
Apache Dubbo 被曝出“高危”远程代码执行漏洞
Java后端技术
06-26 1032
往期热门文章:1、《往期精选优秀博文都在这里了!》2、自从用完Gradle后,有点嫌弃Maven了!速度贼快!3、老大吩咐的可重入分布式锁,终于完美的实现了~4、多线程到底该设置多少个线...
CVE-2022-33891漏洞原理、环境搭建和复现
qq_44767905的博客
07-25 9612
CVE-2022-33891漏洞原理、环境搭建和复现
Cobalt Strike <=4.7 xss复现和NTLM V2窃取(没有RCE)
crowsec
09-24 4111
CVE-2022-39197这个xss的rce,我只复现了xss和简单版本的NTLM哈希窃取。。。 从前几天开始,网上开始讨论关于cobalt strike的CVE-2022-39197漏洞,据说该漏洞可以直接接管服务端的权限。
『Java安全反序列化-浅析Hessian反序列化POP链
Ho1aAs‘s Blog
07-22 1633
# 反序列化漏洞原理 在反序列化时,会通过标志位判断对象的类型,然后调用对应类的反序列化器 对应方法在`SerializerFactory.loadDeserializer()` 具体会**调用到Map的put方法**写入键值对 **对于Map类:会调用反序列化器的readMap方法进行反序列化操作**,默认反序列化出来的是HashMap类 而**HashMap的put方法就会调用键自身的hashCode方法来判断是否有重复**,进而就造成了漏洞风险,这里不再赘述 **对于TreeMap还有equals.
CVE-2021-44228 Apache Log4j2 远程代码执行漏洞复现
热爱学习,喜欢折腾!
09-03 4851
Apache Log4j2 是 Apache 软件基金会下的一个开源的基于 Java 的日志记录工具。Log4j2 是一个 Log4j 1.x 的重写,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于其优异的性能而被广泛的应用于各种常见的 Web 服务中。apache log4j通过定义每一条日志信息的级别能够更加细致地控制日志生成地过程,受影响地版本中纯在JNDI注入漏洞,导致日志在记录用户输入地数据时,触发了注入漏洞,该漏洞可导致远程代码执行,且利用条件低,影响范围广。
CVE-2022-30190复现及原理
摔不死的笨鸟的博客
06-01 1956
CVE-2022-30190漏洞复现
《Vulhub-Aapche Dubbo Java反序列化漏洞(CVE-2019-17564)》
weixin_47118413的博客
12-29 1370
在之前我想起在Vulhub漏洞平台复现过Aapche Dubbo Java反序列化漏洞(CVE-2019-17564),虽然不是最新的(CVE-2022-39198)漏洞,但也想把(CVE-2019-17564)分享一下。
Apache Dubbo 高危漏洞通告
程序猿DD
01-17 552
前沿技术早知道,弯道超车有希望积累超车资本,从关注DD开始作者:360CERT,图文编辑:xj来源:https://www.oschina.net/news/178522报告编号:B6...
Dubbo反序列化漏洞分析集合
AS011x的博客
09-09 4032
调用相应的反序列化函数对数据流进行反序列化操作。,如果不满足则直接抛出异常。若pojo为Map实例,则从pojo(也就是一开始的第三个参数)获取key为“class”的值,并通过反射得到class所对应的类type,再判断对象的类型进行下一步处理。在之前的分析中我们知道了这个方法是用来获取数据体中的一些信息用的,其中一种利用方式就是通过在读取version的时候,调用readUTF方法,跟进。主要是通过获取tag位,进行相应的处理,但是这里关键的就是,当这里不是一个String类型的时候,将会抛出异常。
序列化和反序列化漏洞的简单理解
热门推荐
jameson_的专栏
06-28 2万+
1 背景 2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些大名鼎鼎的Java应用,实现远程代码执行。 然而事实上,博客作者并不是漏洞发现者。博客中提到,早在2015年的1月28号,Gabriel
Apache Dubbo反序列化漏洞复现分析
include_voidmain的博客
03-10 3279
Apache Dubbo反序列化漏洞复现分析
Dubbo 爆出严重漏洞! 可远程执行恶意代码!(附解决方案)
公众号:Java后端
02-17 2544
链接:https | www.anquanke.com/post/id/198747近日检测到Apache Dubbo官方发布了CVE-2019-17564漏洞通告,360灵腾安全实验室...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Kang_Sec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值