国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

關(guān)于Apache Dubbo反序列化漏洞(CVE-2023-23638)的預(yù)警提示與對應(yīng)的Zookeeper版本

2年前作者:二爵爺點燈分類:Toy博客閱讀(27)違法舉報

這篇具有很好參考價值的文章主要介紹了關(guān)于Apache Dubbo反序列化漏洞(CVE-2023-23638)的預(yù)警提示與對應(yīng)的Zookeeper版本。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方,請大家不吝賜教,您也可以點擊"舉報違法"按鈕提交疑問。

? ? ? ? 公司在升級dubbo過程中因zookeeper版本不匹配,導(dǎo)致服務(wù)注冊和調(diào)用出現(xiàn)異常

一、漏洞詳情

Apache Dubbo是一款高性能、輕量級的開源Java服務(wù)框架。

Apache官方發(fā)布安全公告,修復(fù)了Apache Dubbo中的一個反序列化漏洞(CVE-2023-23638)。由于Apache Dubbo安全檢查存在缺陷,導(dǎo)致可以繞過反序列化安全檢查并執(zhí)行反序列化攻擊,成功利用該漏洞可在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

建議受影響用戶做好資產(chǎn)自查以及預(yù)防工作,以免遭受黑客攻擊。

二、影響范圍

Apache Dubbo 2.7.x?版本:<= 2.7.21

Apache Dubbo 3.0.x?版本:<= 3.0.13

Apache Dubbo 3.1.x?版本:<= 3.1.5

三、修復(fù)建議

目前該漏洞已經(jīng)修復(fù),受影響用戶可升級到以下版本:

Apache Dubbo?版本:>= 2.7.22

Apache Dubbo?版本:>= 3.0.14

Apache Dubbo?版本:>= 3.1.6

四、以上漏斗如果注冊中心選用的還是zookeeper,那么zk也需要對應(yīng)的進行升級否則可能會導(dǎo)致服務(wù)提供者和消費者無法注冊和獲取服務(wù)列表

例:dubbo2.7.x升級至2.7.23相關(guān)maven以來所需版本

https://mvnrepository.com/artifact/org.apache.dubbo/dubbo/2.7.23

apache dubbo漏洞,apache,dubbo

依賴jar包所需版本:(注意:zookeeper相關(guān)以來可以點進去)?

apache dubbo漏洞,apache,dubbo?apache dubbo漏洞,apache,dubbo

? ?進入org.apache.dubbo???dubbo-remoting-zookeeper?(如果zk低于最低版本會導(dǎo)致dubbo服務(wù)注冊和調(diào)用異常

apache dubbo漏洞,apache,dubbo

五、關(guān)聯(lián)資料?

?1.?關(guān)于Apache Dubbo反序列化漏洞(CVE-2023-23638)的預(yù)警提示

?2.?Dubbo2.7.22相關(guān)依賴和版本(zk相關(guān)請繼續(xù)點擊查看)文章來源地址http://www.zghlxwxcb.cn/news/detail-552555.html

到了這里,關(guān)于關(guān)于Apache Dubbo反序列化漏洞(CVE-2023-23638)的預(yù)警提示與對應(yīng)的Zookeeper版本的文章就介紹完了。如果您還想了解更多內(nèi)容,請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符,請點擊違法舉報進行投訴反饋,一經(jīng)查實,立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費用

相關(guān)文章

  • Kafka反序列化RCE漏洞(CVE-2023-34040)

    Spring Kafka 是 Spring Framework 生態(tài)系統(tǒng)中的一個模塊,用于簡化在 Spring 應(yīng)用程序中集成 Apache Kafka 的過程,記錄 (record) 指 Kafka 消息中的一條記錄。 受影響版本中默認(rèn)未對記錄配置? ErrorHandlingDeserializer ,當(dāng)用戶將容器屬性? checkDeserExWhenKeyNull ?或? checkDeserExWhenValueNull ?設(shè)置為

    2024年02月06日
    瀏覽(32)
  • 【中?!縎pring Kafka 反序列化漏洞 (CVE-2023-34040)

    【中危】Spring Kafka 反序列化漏洞 (CVE-2023-34040)

    zhi.oscs1024.com????? 漏洞類型 反序列化 發(fā)現(xiàn)時間 2023-08-24 漏洞等級 中危 MPS編號 MPS-fed8-ocuv CVE編號 CVE-2023-34040 漏洞影響廣度 小 OSCS 描述 Spring Kafka?是 Spring Framework 生態(tài)系統(tǒng)中的一個模塊,用于簡化在 Spring 應(yīng)用程序中集成 Apache Kafka 的過程,記錄(record)指 Kafka 消息中的一

    2024年02月11日
    瀏覽(54)
  • 【漏洞復(fù)現(xiàn)】Apache Log4j Server 反序列化命令執(zhí)行漏洞(CVE-2017-5645)

    【漏洞復(fù)現(xiàn)】Apache Log4j Server 反序列化命令執(zhí)行漏洞(CVE-2017-5645)

    感謝互聯(lián)網(wǎng)提供分享知識與智慧,在法治的社會里,請遵守有關(guān)法律法規(guī) 說明 內(nèi)容 漏洞編號 CVE-2017-5645 漏洞名稱 Log4j Server 反序列化命令執(zhí)行漏洞 漏洞評級 高危 影響范圍 Apache Log4j 2.8.2之前的2.x版本 漏洞描述 修復(fù)方案 1.1、漏洞描述 攻擊者可以通過發(fā)送一個特別制作的2進

    2024年02月05日
    瀏覽(32)
  • Apache Log4j Server (CVE-2017-5645) 反序列化命令執(zhí)行漏洞

    Apache Log4j Server (CVE-2017-5645) 反序列化命令執(zhí)行漏洞

    Apache Log4j是一個用于Java的日志記錄庫,其支持啟動遠(yuǎn)程日志服務(wù)器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻擊者可利用該漏洞執(zhí)行任意代碼。 說明 內(nèi)容 漏洞編號 CVE-2017-5645 漏洞名稱 Apache Log4j Server 反序列化命令執(zhí)行漏洞 漏洞評級 高危 影響范圍 Apache Log4j 2.8.2之前

    2024年02月07日
    瀏覽(38)
  • Apache Log4j Server 反序列化命令執(zhí)行漏洞(CVE-2017-5645)(漏洞復(fù)現(xiàn)詳細(xì)過程)

    Apache Log4j Server 反序列化命令執(zhí)行漏洞(CVE-2017-5645)(漏洞復(fù)現(xiàn)詳細(xì)過程)

    目錄 一、漏洞介紹 二、漏洞環(huán)境搭建 三、漏洞利用 四、漏洞流量特征: CVE-2017-5645 是 Apache Log4j 服務(wù)器的一個反序列化命令執(zhí)行漏洞,攻擊者可以利用這個漏洞通過發(fā)送精心制作的請求,遠(yuǎn)程執(zhí)行命令,從而危及服務(wù)器的安全。 進入漏洞目錄文件,啟動漏洞環(huán)境:docker-c

    2024年02月16日
    瀏覽(37)
  • Spring boot使用Kafka Java反序列化漏洞 CVE-2023-34040

    Spring boot使用Kafka Java反序列化漏洞 CVE-2023-34040

    背景:公司項目掃描到 Spring-Kafka上使用通配符模式匹配進行的安全繞過漏洞 CVE-2023-20873 中等風(fēng)險 | 2023年8月23日 | CVE-2023-34040 在Spring for Apache Kafka 3.0.9及更早版本以及2.9.10及更早版本中,存在可能的反序列化攻擊向量,但只有在應(yīng)用了不常見的配置時才會出現(xiàn)。攻擊者必須在

    2024年02月07日
    瀏覽(45)
  • Log4j反序列化命令執(zhí)行漏洞(CVE-2017-5645)&Apache Log4j2 lookup JNDI 注入漏洞(CVE-2021-44228)

    Log4j反序列化命令執(zhí)行漏洞(CVE-2017-5645)&Apache Log4j2 lookup JNDI 注入漏洞(CVE-2021-44228)

    Apache Log4j是一個用于Java的日志記錄庫,其支持啟動遠(yuǎn)程日志服務(wù)器。Apache Log4j 2.8.2之前的2.x版本中存在安全漏洞。攻擊者可利用該漏洞執(zhí)行任意代碼 環(huán)境:vulhub 工具下載地址: ysoserial 利用工具生成payload: 1.創(chuàng)建文件 進入容器內(nèi)部,查看文件創(chuàng)建成功 2.查看反彈的shell 有點

    2024年02月11日
    瀏覽(37)
  • 【嚴(yán)重】VMware Aria Operations for Logs v8.10.2 存在反序列化漏洞(CVE-2023-20864)

    【嚴(yán)重】VMware Aria Operations for Logs v8.10.2 存在反序列化漏洞(CVE-2023-20864)

    VMware Aria Operations for Logs前身是vRealize Log Insight,VMware用于處理和管理大規(guī)模的日志數(shù)據(jù)產(chǎn)品。 VMware Aria Operations for Logs 8.10.2版本中存在反序列化漏洞,具有 VMware Aria Operations for Logs 網(wǎng)絡(luò)訪問權(quán)限的未經(jīng)身份驗證的攻擊者能夠以 root 身份執(zhí)行任意代碼。 漏洞名稱 VMware Aria Oper

    2024年02月01日
    瀏覽(31)
  • ActiveMQ 反序列化漏洞 (CVE-2015-5254)復(fù)現(xiàn)

    ActiveMQ 反序列化漏洞 (CVE-2015-5254)復(fù)現(xiàn)

    1、Apache ActiveMQ Apache ActiveMQ是Apache軟件基金會所研發(fā)的一套開源的消息中間件,它支持Java消息服務(wù),集群,Spring Framework等。 2、漏洞產(chǎn)生原理 該組件程序造成的漏洞不限制代理中可以序列化的類。遠(yuǎn)程攻擊者可以使一個特殊的序列化 Java 消息服務(wù) (JMS) ObjectMessage 對象利用此漏

    2024年02月10日
    瀏覽(21)
  • Jboss(CVE-2017-12149)反序列化命令執(zhí)行漏洞

    Jboss(CVE-2017-12149)反序列化命令執(zhí)行漏洞

    該漏洞為 Java反序列化錯誤類型,存在于 Jboss 的 HttpInvoker 組件中的 ReadOnlyAccessFilter 過濾器中。該過濾器在沒有進行任何安全檢查的情況下嘗試將來自客戶端的數(shù)據(jù)流進行反序列化,從而導(dǎo)致了漏洞。 受影響系統(tǒng)及應(yīng)用版本?? ?Jboss AS 5.x、Jboss AS 6.x 環(huán)境搭建 使用vulhub靶場

    2024年02月15日
    瀏覽(33)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包