Dubbo 高危漏洞！原来都是反序列化惹得祸( 五 ) _Dubbo

https://www.mail-archive.com/dev@dubbo.apache.org/msg06544.html
Dubbo 在 2020-06-22 日发布 2.7.7 版本，升级内容名其中包括了这个反序列化漏洞的修复。不过从其他人发布的文章来看，2.7.7 版本的修复方式，只是初步改善了问题，不过并没有根本上解决的这个问题。
感兴趣的同学可以看下这篇文章：
https://www.freebuf.com/mob/vuls/241975.html
防护措施最后作为一名普通的开发者来说，我们自己来修复这种漏洞，实在不太现实。
术业有专攻，这种专业的事，我们就交给个高的人来顶。
我们需要做的事，就是了解的这些漏洞的一些基本原理，树立的一定意识。
其次我们需要了解一些基本的防护措施，做到一些基本的防御。
如果碰到这类问题，我们及时需要关注官方的新的修复版本，尽早升级，比如 Common-Collections 版本升级。
有些依赖 jar 包，升级还是方便，但是有些东西升级就比较麻烦了。就比如这次 Dubbo 来说，官方目前只放出的 Dubbo 2.7 版本的修复版本，如果我们需要升级，需要将版本直接升级到 Dubbo 2.7.7 。
如果你目前已经在使用 Dubbo 2.7 版本，那么升级还是比较简单。但是如果还在使用 Dubbo 2.6 以下版本的，那么就麻烦了，没办法直接升级。
Dubbo 2.6 到 Dubbo 2.7 版本，其中升级太多了东西，就比如包名变更，影响真的比较大。
就拿我们系统来讲，我们目前这套系统，生产还在使用 JDK7 。如果需要升级，我们首先需要升级 JDK 。
其次，我们目前大部分应用还在使用 Dubbo 2.5.6 版本，这是真的，版本就是这么低。
这部分应用直接升级到 Dubbo 2.7 ,改动其实非常大。另外有些基础服务，自从第一次部署之后，就再也没有重新部署过。对于这类应用还需要仔细评估。
最后，我们有些应用，自己实现了 Dubbo SPI，由于 Dubbo 2.7 版本的包路径改动，这些 Dubbo SPI 相关包路径也需要做出一些改动。
所以直接升级到 Dubbo 2.7 版本的，对于一些老系统来讲，还真是一件比较麻烦的事。
如果真的需要升级，不建议一次性全部升级，建议采用逐步升级替换的方式，慢慢将整个系统的内 Dubbo 版本的升级。
所以这种情况下，短时间内防御措施，可参考玄武实验室给出的方案：

文章插图

如果当前 Dubbo 部署云上，那其实比较简单，可以使用云厂商的提供的相关流量监控产品，提前一步阻止漏洞的利用。
最后（来个一键四连！！！）本人不是从事安全开发，上文中相关总结都是查询网上资料，然后加以自己的理解。如果有任何错误，麻烦各位大佬轻喷~
如果可以的话，留言指出，谢谢了~
好了，说完了正事，来说说这周的趣事~
这周搬到了小黑屋，哼次哼次进入开发~
刚进到小黑屋的时候，我发现里面的桌子，可以单独拆开。于是我就单独拆除一个桌子，然后霸占了一个背靠窗，正面直对大门的天然划水摸鱼的好位置。
之后我又叫来另外一个同事，坐在我的边上。当我们的把电脑，显示器啥的都搬过来放到桌子上之后。外面进来的同事就说这个会议室怎么就变成了跟房产线下门店一样了~
还真别说，在我的位置前面摆上两把椅子，就跟上面的图一样了~

文章插图

好了，下周有点不知道些什么，大家有啥想了解，感兴趣的，可以留言一下~
如果没有写作主题的话，咱就干回老本行，来聊聊这段时间，我在开发的聚合支付模式，尽请期待哈~
帮助资料

http://blog.nsfocus.net/deserialization/
http://www.beesfun.com/2017/05/07/JAVA反序列化漏洞知识点整理/
https://xz.aliyun.com/t/2041
https://xz.aliyun.com/t/2028
https://www.freebuf.com/vuls/241975.html
http://rui0.cn/archives/1338
http://apachecommonstipsandtricks.blogspot.com/2009/01/transformedmap-and-transformers-plug-in.html
https://security.tencent.com/index.php/blog/msg/97
JAVA反序列化漏洞完整过程分析与调试
https://security.tencent.com/index.php/blog/msg/131
https://paper.seebug.org/1264/#35