картирование уязвимостей

15 декабря 2023 года Apache официально выпустила уведомление о безопасности, в котором сообщалось, что в ее Dubbo есть уязвимость десериализации с номером уязвимости CVE-2023-29234.

Dubbo — это высокопроизводительная и превосходная сервисная платформа с открытым исходным кодом от Alibaba, которая позволяет приложениям реализовывать функции вывода и ввода услуг посредством высокопроизводительного RPC и может быть легко интегрирована с платформой Spring.

Согласно официальному описанию, некоторые версии Apache Dubbo имеют уязвимость десериализации при декодировании вредоносных пакетов, что позволяет удаленным злоумышленникам использовать эту уязвимость для выполнения произвольного кода.

Затронутая версия

• 3.1.0 <= Apache Dubbo <= 3.1.10
• 3.2.0 <= Apache Dubbo <= 3.2.4

решение

Обновление плана ремонта

Обновите Apache Dubbo до соответствующей безопасной версии.

лазейки Повторение

Анализ патчей

• https://github.com/apache/dubbo/commits/dubbo-3.1.11
• https://github.com/apache/dubbo/commit/9ae97ea053dad758a0346a9acda4fbc8ea01429a

Патч toString должен быть знаком тем, кто анализировал исторические уязвимости Dubbo. В CVE-2021-43297 неявный вызов «+» используется для запуска toString, вызывающего десериализацию.

Повторение

Цепочка вызовов трассировки выглядит следующим образом:

ObjectInput#readThrowable
  DecodeableRpcResult#handleException
      DecodeableRpcResult#decode

DecodeableRpcResult — это поведение потребителя. Первоначально определяется, что уязвимость вызвана тем, что поставщик ударил потребителя. Остальные принципы аналогичны CVE-2021-43297.

Оценка воздействия: Потребителю необходимо активно подключаться к провайдеру. Сценарий следующий:

1. Используйте производителя, чтобы сдвинуть потребителя в сторону.
2. Если Zookeeper не авторизован в интранете, фальшивый производитель может быть использован для атаки на потребителя.

Правила проверки безопасности

Служба аутентификации Tencent Security Authentication Service (BAS) уже поддерживает проверку безопасности для этой уязвимости. Кроме того, служба проверки безопасности Tencent также поддерживает почти все серьезные уязвимости Dubbo в истории.

О службе аутентификации безопасности (BAS)

Служба проверки безопасности Tencent (BAS) обеспечивает автоматическую проверку эффективности защиты и является ключевой функцией системы службы безопасности Tencent. Это может помочь предприятиям постоянно оценивать систему защиты, обнаруживать слабые места в защите, оптимизировать конфигурацию политики, планировать инвестиции в безопасность и повышать уровень безопасности.

В настоящее время он обслуживает пользователей во многих отраслях, таких как финансы, транспорт, производство и Интернет. Для получения дополнительной информации нажмите ссылку, чтобы узнать больше: https://cloud.tencent.com/product/bas.

END