【高危漏洞预警】Apache Dubbo 反序列化漏洞CVE-2023-29234

cexlife 飓风网络安全 2023-12-18 18:29

漏洞描述:
Apache Dubbo 是一款微服务开发框架，它提供了RPC通信与微服务治理两大关键能力,使应用可通过高性能的 RPC 实现服务的输出和输入功能，可以和 Spring 框架无缝集成,Apache Dubbo 某些版本在解码恶意包时存在反序列化漏洞，远程攻击者可利用该漏洞执行任意代码,在3.1.5版本中，由于新增的SerializeSecurityManager类存在缺陷，addToAllow方法未正确过滤黑名单的类，攻击者可能绕过黑名单限制，反序列化任意类，从而远程执行任意代码。影响版本:3.1.0<=Apache Dubbo<=3.1.103.2.0<=Apache Dubbo<=3.2.4修复建议:正式防护方案:将 org.apache.dubbo:dubbo-common 升级至 3.1.6 及以上版本将 org.apache.dubbo:dubbo 升级至 3.1.6 及以上版本官方已修复该漏洞，建议用户更新到安全版本安全版本:Apache Dubbo >= 3.1.11Apache Dubbo >= 3.2.5下载链接：https://github.com/apache/dubbo/releases参考资料:https://lists.apache.org/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77http://www.openwall.com/lists/oss-security/2023/12/15/2