RoboTerh

前置

由于Dubbo可以支持很多类型的反序列化协议，以满足不同系统对RPC的需求，比如

• 跨语言的序列化协议：Protostuff,ProtoBuf,Thrift,Avro,MsgPack
• 针对Java语言的序列化方式:Kryo,FST
• 基于Json文本形式的反序列化方式：Json、Gson

主要涉及

CVE-2021-25641

影响版本

• Dubbo 2.7.0 to 2.7.8
• Dubbo 2.6.0 to 2.6.9
• Dubbo all 2.5.x versions (not supported by official team any longer)

CVE-2019-17564

背景

当用户选择http协议进行通信时，Apache Dubbo 在接受来自消费者的远程调用的POST请求的时候会执行一个反序列化的操作，由于没有任何安全校验，于是可以造成反序列化执行任意代码

环境

I'm so cute. Please give me money.

• Post author: RoboTerh
• Post link: https://roboterh.github.io/2022/05/27/%E4%BB%8E%E4%B8%80%E9%81%93%E9%A2%98%E7%9B%AE%E6%9D%A5%E7%9C%8Bkryo%E5%BA%8F%E5%88%97%E5%8C%96/
• Copyright Notice: All articles in this blog are licensed under unless otherwise stated.