Apache Dubbo 高危漏洞通告

最新推荐文章于 2025-11-05 10:04:49 发布
转载 最新推荐文章于 2025-11-05 10:04:49 发布 · 222 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://mp.weixin.qq.com/s?__biz=MzUzMTA2NTU2Ng==&mid=2247536364&idx=3&sn=137ab88b89a1c9358840d793f25ef962&chksm=fa4a315dcd3db84ba69a5589f7b580f00af722d729a7451a978d05358a5faa91b4f61ba401d8&scene=126&&sessionid=0
文章标签:

#中间件 #java #linux #大数据 #github

点击上方“芋道源码”,选择“设为星标

管她前浪,还是后浪?

能浪的浪,才是好浪!

每天 10:33 更新文章,每天掉亿点点头发...

源码精品专栏

 

来源:www.oschina.net/news/178522

68caab70aa68c96e61f03928c77da63b.png

作者:360CERT, 图文编辑:xj

报告编号:B6-2022-011403

报告来源:360CERT

报告作者:360CERT

更新日期:2022-01-14

1 漏洞简述

2022年01月14日,360CERT监测发现Apache官方 发布了Apache Dubbo hessian-lite的风险通告,漏洞编号为CVE-2021-43297,漏洞等级:高危,漏洞评分:7.5

Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。

对此,360CERT建议广大用户及时将Apache Dubbo升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

推荐下自己做的 Spring Boot 的实战项目:

https://github.com/YunaiV/ruoyi-vue-pro

2 风险等级

360CERT对该漏洞的评定结果如下

c685fef0b34f721c01f543bee72e11c9.png

推荐下自己做的 Spring Cloud 的实战项目:

https://github.com/YunaiV/onemall

3 漏洞详情

CVE-2021-43297: Apache Dubbo代码执行漏洞

CVE: CVE-2021-43297

组件: Apache Dubbo

漏洞类型: 反序列化

影响: 代码执行

简述: Apache Dubbo hessian-lite 3.2.11及之前版本存在一个反序列化漏洞。大多数Dubbo用户默认使用Hessian2序列化/反序列化协议,在Hessian捕捉到异常时,会注销用户的一些信息,这可能导致远程命令执行。

4 影响版本

9bfe09bedbb43919213a61739d4091dd.png

5 修复建议

通用修补建议

根据影响版本中的信息,排查并升级到安全版本。下载链接:https://github.com/apache/dubbo/releases

6 时间线

2022-01-09 Apache官方发布通告

2022-01-14 360CERT发布通告

7 参考链接

https://lists.apache.org/thread/1mszxrvp90y01xob56yp002939c7hlww

欢迎加入我的知识星球,一起探讨架构,交流源码。加入方式,长按下方二维码噢

8981792ee2bb790d53eea65f2fd4fc82.png

已在知识星球更新源码解析如下:

5e2cb4e5f63b234a8a89acad296a1db7.png

ce3925c1c7d9033fd33020275a434e7a.png

d4346b4ab2bc39536f06d7549ff7979d.png

48c9f5d3a95f120ec8d2451740ad01b8.png

最近更新《芋道 SpringBoot 2.X 入门》系列,已经 101 余篇,覆盖了 MyBatis、Redis、MongoDB、ES、分库分表、读写分离、SpringMVC、Webflux、权限、WebSocket、Dubbo、RabbitMQ、RocketMQ、Kafka、性能测试等等内容。

提供近 3W 行代码的 SpringBoot 示例,以及超 4W 行代码的电商微服务项目。

获取方式:点“在看”,关注公众号并回复 666 领取,更多内容陆续奉上。

文章有帮助的话,在看,转发吧。
谢谢支持哟 (*^__^*)
Java爬虫—WebMagic
qq_52655865的博客
02-18 2020
WebMagic企业开发,比HttpClient和JSoup更方便WebMagic有DownLoad,PageProcessor,Schedule,Pipeline四大组件,并有Spider将他们组织起来,这四大组件对应就是爬虫的下载,处理,管理,持久化等功能。
WebMagic:强大的Java爬虫框架解析与实战
Aaron_945的博客
08-14 2052
WebMagic的设计遵循了爬虫开发的基本流程:下载网页、解析网页、提取数据、存储数据。它将这些流程抽象为四个组件:Downloader、PageProcessor、Scheduler、Pipeline,通过这四个组件的协同工作,实现了高效、灵活的网页抓取。Downloader:负责从网络上下载页面,并将页面内容提供给PageProcessor进行解析。:用户自定义的页面解析逻辑,用于解析页面内容,提取需要的数据,并可以生成新的请求任务。Scheduler。
sequel pro
02-21
mac mysql连接工具,导入导出方便,支持csv文件导入数据
芋道源码:企业级Spring Boot应用开发框架全解析
最新发布
gitblog_00958的博客
11-05 418
### 1.1 框架核心价值与应用场景 ???? **核心价值**:芋道源码作为一款企业级Spring Boot应用框架,通过模块化设计实现业务逻辑与技术架构的解耦,提供了从数据权限控制到工作流引擎的完整解决方案。其分层架构设计既满足了大型项目的扩展性需求,又保证了中小项目的快速开发能力。 ???? **技术选型理由**:采用"框架+业务模块"的目录结构设计,既符合DDD领域驱动设计思想,又通过Mave...
图解电商支付架构设计,这才是真电商
芋艿V
06-30 829
点击上方“芋道源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天 8:55 更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2020 超神之路,很肝~中...
Mysql 的管理工具Sequel Pro
xiaoxinshuaiga的博客
06-30 1008
服务器和本地都是Mysql数据库 使用的工具:Sequel Pro(专门管理Mysql的工具) 操作系统Mac OS 10.12 Sequel Pro简介 Sequel Pro是一款管理Mysql的工具,界面简洁易用。 Sequel 连接界面 连接服务器的mysql数据库 Sequel Pro提供了3种连接方式,standard/socket/ssh。 我使用的是stan...
Apache Dubbo反序列化漏洞复现分析
include_voidmain的博客
03-10 3222
Apache Dubbo反序列化漏洞复现分析
Apache Dubbo 反序列化漏洞(CVE-2020-1948)
m0_46689007的博客
11-29 862
使用marshalsec开启ldap时,如果ldap服务和http服务上有日志,但时恶意命令没有执行,可以将"http://192.168.146.128#exp "改为"http://192.168.146.128/#exp"docker环境执行命令可能需要编码,如果ldap服务和http服务上有日志,但时恶意命令没有执行,将命令编码。看到ldap服务被访问,重定向到我们的http服务上的exp.class类。这一段是被攻击机访问攻击机的http服务上的恶意类exp.class。
漏洞复现-Apache Dubbo反序列化漏洞(CVE-2023-23638)
玄道的网安博客
08-11 783
GenericFilter 将根据客户端提供的接口名、方法名、方法参数类型列表,根据反射机制获取对应的方法,再根据客户端提供的反序列化方式将参数进行反序列化成 pojo 对象。遍历 Map 中所有的 key, 并尝试获取与 key 对应的 setter 或 Field, 然后赋值因为上面的过程会同时获取可能的 setter 和 Field, 然后赋值, 所以我们基本上可以控制任何类的任何属性 (即使它没有对应的 setter)1、关闭对公网开放的Dubbo服务端端口,仅允许可信任的IP访问。
Apache DubboApacheDubbo简介与快速入门
07-12
### Apache DubboApache Dubbo简介与快速入门 #### 一、Apache Dubbo 简介 ##### 1.1 Dubbo 是什么? Dubbo 是一个高性能、轻量级的开源微服务框架,由阿里巴巴开发并维护。它主要用于构建分布式系统,通过提供...
【反序列化漏洞】关于反序列化漏洞的杂谈1 -- Apache Dubbo 反序列化漏洞 CVE-2023-29234
blackmagic的博客
07-26 1661
反序列化漏洞也被称为"unserialization vulnerability"。它存在于那些允许将对象从字符串或二进制数据转换回原始对象的应用程序中。反序列化漏洞的问题在于,恶意用户可以构造特殊的序列化数据,通过应用程序的反序列化过程来执行恶意代码。这可以导致应用程序在反序列化过程中执行任意的代码,包括读取、修改或删除应用程序的敏感数据,或者在应用程序上下文中执行不受控制的操作。
poi解决读取excel大文件内存溢出的代码
12-14
本资源是从之前的资源综合整理出来的代码,之前的代码不全,需要下载两次,为了减少用户的下载量,减少用户的下载资源分,我已经将代码整合好了,运行类为:com.telesound.dataimport.excel.TestReadExcel。 本资源解决的难题是导入大文件excel的时候,会报内存溢出的错误。 欢迎各位下载,解决用户的难题是我的宗旨,好的话给个评价,谢谢!
springboot入门(全局 异常拦截)
03-01
springboot入门 全局 异常拦截 学习代码
Sequel Pro.zip
10-09
苹果笔记本非常好用的客户端数据库软件,可视化数据库结构展示sequel pro
poi大量数据读取gc内存溢出解决方案
05-11
poi读取大量数据会造成gc内存溢出的报错,由于垃圾回收机制无法将大量的对象及时的回收,而这些对象又会保存在内存中,会导致内存不够用的情况,这时候我们就需要使用新的方法,读取为cvs即可.此解决方案可支持千万数据的传输不报错
POI 内存溢出解决方案
sd2131512的专栏
07-17 2万+
POI之前的版本不支持大数据量处理,如果数据过多则经常报OOM错误,有时候调整JVM大小效果也不是太好。3.8版本的POI新出来了SXSSFWorkbook,可以支持大数据量的操作,只是SXSSFWorkbook只支持.xlsx格式,不支持.xls格式。 3.8版本的POI对excel的导出操作,一般只使用HSSFWorkbook以及SXSSFWorkbook,HSSFWorkbook用来处理较
springboot之全局异常拦截器
热门推荐
David的博客
08-25 2万+
接上一篇jsr303参数校验,由于返回的数据提示很不友好(bindException), 需要定义全局异常拦截器,将信息友好的显示给用户 本文以处理登录为例 定义全局异常拦截器:继承自RuntimeException GlobalExceptionHandler,java import org.springframework.validation.BindException; @C...
springboot 全局异常拦截器
qq_38472574的博客
10-23 176
springboot 全局异常拦截器
Apache Dubbo与Spring RESTful服务实现教程
"本资源是一份关于服务计算的作业,主要涵盖了如何使用Apache DubboJava Spring和Apache Axis2对外提供服务。作业涉及到的具体内容包括创建一个Person类,然后使用这三个框架来暴露和调用该类的方法。" 在这个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值