Apache Dubbo反序列化漏洞(CVE-2023-23638)

一、漏洞概述

近日,绿盟科技CERT监测到Apache官方发布安全通告,修复了一个Apache Dubbo反序列化漏洞(CVE-2023-23638)。由于Apache Dubbo对反序列化安全检查存在缺陷,远程攻击者通过构造恶意数据包进行反序列化攻击,最终可实现在目标系统上执行任意代码,请受影响的用户尽快采取措施进行防护。

Apache Dubbo是一款微服务开发框架,它提供了RPC通信与微服务治理两大关键能力。使应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring 框架无缝集成。

 

参考链接:

https://www.mail-archive.com/announce@apache.org/msg08018.html

 

二、影响范围

受影响范围

  • Apache Dubbo 7.x<= 2.7.21
  • Apache Dubbo 3.0.x<= 0.13
  • Apache Dubbo 3.1.x<= 1.5

 

不受影响范围

  • Apache Dubbo >= 2.7.22
  • Apache Dubbo >= 3.0.14
  • Apache Dubbo >= 3.1.6

三、漏洞检测

1、相关用户可在Dubbo的Web日志界面查看当前的Dubbo版本号,路径为/log.html或/sysinfo/logs

2、用户也可在项目的pom.xml文件中查看当前使用的Dubbo版本号

若版本在受影响范围内可能存在安全风险。

四、漏洞防护

  • 官方升级

目前官方已针对该漏洞发布修复版本,建议受影响的用户及时更新升级到最新版本,下载链接:https://github.com/apache/dubbo/releases

注:为防止出现意外建议升级前做好数据备份。

  • 其他防护措施

1、关闭对公网开放的Dubbo服务端端口,仅允许可信任的IP访问。

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

Spread the word. Share this post!

Meet The Author