[CVE-2020-1948] 漏洞修复方案讨论

[vincent2518]

请问：这个漏洞是不是也可以通过魔改dubbo部分源代码形式修复？
比如在2.5.3中反序列化时，增加“Ignore deserilization when service/method not found #5733”逻辑来实现规避该漏洞呢？

[horizonzy]

参考这篇文章进行修改 http://rui0.cn/archives/1338

[horizonzy]

一个简单的方法解决这个问题就是。修改org.apache.dubbo.rpc.RpcInvocation#的toString方法。把arguments的打印去掉。

[spilledyear]

一个简单的方法解决这个问题就是。修改org.apache.dubbo.rpc.RpcInvocation#的toString方法。把arguments的打印去掉。

这个可行吗？

[horizonzy]

可行。我的版本是针对2.7.2

[spilledyear]

可行。我的版本是针对2.7.2

大佬，安全测试这一块我该这么做呢？就是我修改之后，该如何确认我这个修改是生效了呢？能指导一下啊吗？没接触过这快

[horizonzy]

你基于dubbo的Demo.在DubboInvoker的doInvoke方法中。强制把interface写成一个不存在的。在provider端看看最后会不会对arguments进行toString方法。本次的安全漏洞就是基于对arguments进行了toString导致的 发自我的iPhone

…

------------------ 原始邮件 ------------------ 发件人: spilledyear <notifications@github.com&gt; 发送时间: 2020年6月25日 22:12 收件人: apache/dubbo <dubbo@noreply.github.com&gt; 抄送: 赵延 <1060026287@qq.com&gt;, Comment <comment@noreply.github.com&gt; 主题: 回复：[apache/dubbo] [CVE-2020-1948] 漏洞修复方案讨论 (#6364) 可行。我的版本是针对2.7.2 大佬，安全测试这一块我该这么做呢？就是我修改之后，该如何确认我这个修改是生效了呢？能指导一下啊吗？没接触过这快 — You are receiving this because you commented. Reply to this email directly, view it on GitHub, or unsubscribe.

[horizonzy]

也可以基于这个报告来进行模拟。https://www.mail-archive.com/dev@dubbo.apache.org/msg06544.html

[spilledyear]

你基于dubbo的Demo.在DubboInvoker的doInvoke方法中。强制把interface写成一个不存在的。在provider端看看最后会不会对arguments进行toString方法。本次的安全漏洞就是基于对arguments进行了toString导致的 发自我的iPhone
…
------------------ 原始邮件 ------------------ 发件人: spilledyear <notifications@github.com> 发送时间: 2020年6月25日 22:12 收件人: apache/dubbo <dubbo@noreply.github.com> 抄送: 赵延 <1060026287@qq.com>, Comment <comment@noreply.github.com> 主题: 回复：[apache/dubbo] [CVE-2020-1948] 漏洞修复方案讨论 (#6364) 可行。我的版本是针对2.7.2 大佬，安全测试这一块我该这么做呢？就是我修改之后，该如何确认我这个修改是生效了呢？能指导一下啊吗？没接触过这快 — You are receiving this because you commented. Reply to this email directly, view it on GitHub, or unsubscribe.

感谢。但是我在consumer端改成了一个不存在的methodName, 并没有在provider发现执行了RpcInvocation的toString方法啊.只是抛出了 Not found method "cccccc" in

[horizonzy]

你把path改成不存在的看看。provider通过path:port去找的invoked.我看ruilin说的当method或者interface不存在时会出现该问题，我认为应该是interface不存在时才会出该问题。 发自我的iPhone

…

------------------ 原始邮件 ------------------ 发件人: spilledyear <notifications@github.com&gt; 发送时间: 2020年6月26日 21:27 收件人: apache/dubbo <dubbo@noreply.github.com&gt; 抄送: 赵延 <1060026287@qq.com&gt;, Comment <comment@noreply.github.com&gt; 主题: 回复：[apache/dubbo] [CVE-2020-1948] 漏洞修复方案讨论 (#6364) 你基于dubbo的Demo.在DubboInvoker的doInvoke方法中。强制把interface写成一个不存在的。在provider端看看最后会不会对arguments进行toString方法。本次的安全漏洞就是基于对arguments进行了toString导致的 发自我的iPhone … ------------------ 原始邮件 ------------------ 发件人: spilledyear <notifications@github.com&gt; 发送时间: 2020年6月25日 22:12 收件人: apache/dubbo <dubbo@noreply.github.com&gt; 抄送: 赵延 <1060026287@qq.com&gt;, Comment <comment@noreply.github.com&gt; 主题: 回复：[apache/dubbo] [CVE-2020-1948] 漏洞修复方案讨论 (#6364) 可行。我的版本是针对2.7.2 大佬，安全测试这一块我该这么做呢？就是我修改之后，该如何确认我这个修改是生效了呢？能指导一下啊吗？没接触过这快 — You are receiving this because you commented. Reply to this email directly, view it on GitHub, or unsubscribe. 感谢。但是我在consumer端改成了一个不存在的methodName, 并没有在provider发现执行了RpcInvocation的toString方法啊.只是抛出了 Not found method "cccccc" in — You are receiving this because you commented. Reply to this email directly, view it on GitHub, or unsubscribe.

[spilledyear]

你把path改成不存在的看看。provider通过path:port去找的invoked.我看ruilin说的当method或者interface不存在时会出现该问题，我认为应该是interface不存在时才会出该问题。 发自我的iPhone
…
------------------ 原始邮件 ------------------ 发件人: spilledyear <notifications@github.com> 发送时间: 2020年6月26日 21:27 收件人: apache/dubbo <dubbo@noreply.github.com> 抄送: 赵延 <1060026287@qq.com>, Comment <comment@noreply.github.com> 主题: 回复：[apache/dubbo] [CVE-2020-1948] 漏洞修复方案讨论 (#6364) 你基于dubbo的Demo.在DubboInvoker的doInvoke方法中。强制把interface写成一个不存在的。在provider端看看最后会不会对arguments进行toString方法。本次的安全漏洞就是基于对arguments进行了toString导致的 发自我的iPhone … ------------------ 原始邮件 ------------------ 发件人: spilledyear <notifications@github.com> 发送时间: 2020年6月25日 22:12 收件人: apache/dubbo <dubbo@noreply.github.com> 抄送: 赵延 <1060026287@qq.com>, Comment <comment@noreply.github.com> 主题: 回复：[apache/dubbo] [CVE-2020-1948] 漏洞修复方案讨论 (#6364) 可行。我的版本是针对2.7.2 大佬，安全测试这一块我该这么做呢？就是我修改之后，该如何确认我这个修改是生效了呢？能指导一下啊吗？没接触过这快 — You are receiving this because you commented. Reply to this email directly, view it on GitHub, or unsubscribe. 感谢。但是我在consumer端改成了一个不存在的methodName, 并没有在provider发现执行了RpcInvocation的toString方法啊.只是抛出了 Not found method "cccccc" in — You are receiving this because you commented. Reply to this email directly, view it on GitHub, or unsubscribe.

path 是个final变量，有什么办法可以修改吗？

[horizonzy]

path是通过attachments传递的。debug看DubboProtocol的requestHandler的replay。有个geyInvoker方法。跟这个 发自我的iPhone

…

------------------ 原始邮件 ------------------ 发件人: spilledyear <notifications@github.com&gt; 发送时间: 2020年6月26日 21:44 收件人: apache/dubbo <dubbo@noreply.github.com&gt; 抄送: 赵延 <1060026287@qq.com&gt;, Comment <comment@noreply.github.com&gt; 主题: 回复：[apache/dubbo] [CVE-2020-1948] 漏洞修复方案讨论 (#6364) 你把path改成不存在的看看。provider通过path:port去找的invoked.我看ruilin说的当method或者interface不存在时会出现该问题，我认为应该是interface不存在时才会出该问题。 发自我的iPhone … ------------------ 原始邮件 ------------------ 发件人: spilledyear <notifications@github.com&gt; 发送时间: 2020年6月26日 21:27 收件人: apache/dubbo <dubbo@noreply.github.com&gt; 抄送: 赵延 <1060026287@qq.com&gt;, Comment <comment@noreply.github.com&gt; 主题: 回复：[apache/dubbo] [CVE-2020-1948] 漏洞修复方案讨论 (#6364) 你基于dubbo的Demo.在DubboInvoker的doInvoke方法中。强制把interface写成一个不存在的。在provider端看看最后会不会对arguments进行toString方法。本次的安全漏洞就是基于对arguments进行了toString导致的 发自我的iPhone … ------------------ 原始邮件 ------------------ 发件人: spilledyear <notifications@github.com&gt; 发送时间: 2020年6月25日 22:12 收件人: apache/dubbo <dubbo@noreply.github.com&gt; 抄送: 赵延 <1060026287@qq.com&gt;, Comment <comment@noreply.github.com&gt; 主题: 回复：[apache/dubbo] [CVE-2020-1948] 漏洞修复方案讨论 (#6364) 可行。我的版本是针对2.7.2 大佬，安全测试这一块我该这么做呢？就是我修改之后，该如何确认我这个修改是生效了呢？能指导一下啊吗？没接触过这快 — You are receiving this because you commented. Reply to this email directly, view it on GitHub, or unsubscribe. 感谢。但是我在consumer端改成了一个不存在的methodName, 并没有在provider发现执行了RpcInvocation的toString方法啊.只是抛出了 Not found method "cccccc" in — You are receiving this because you commented. Reply to this email directly, view it on GitHub, or unsubscribe. path 是个final变量，有什么办法可以修改吗？ — You are receiving this because you commented. Reply to this email directly, view it on GitHub, or unsubscribe.

[horizonzy]

你把path改成不存在的看看。provider通过path:port去找的invoked.我看ruilin说的当method或者interface不存在时会出现该问题，我认为应该是interface不存在时才会出该问题。 发自我的iPhone
…
------------------ 原始邮件 ------------------ 发件人: spilledyear <notifications@github.com> 发送时间: 2020年6月26日 21:27 收件人: apache/dubbo <dubbo@noreply.github.com> 抄送: 赵延 <1060026287@qq.com>, Comment <comment@noreply.github.com> 主题: 回复：[apache/dubbo] [CVE-2020-1948] 漏洞修复方案讨论 (#6364) 你基于dubbo的Demo.在DubboInvoker的doInvoke方法中。强制把interface写成一个不存在的。在provider端看看最后会不会对arguments进行toString方法。本次的安全漏洞就是基于对arguments进行了toString导致的 发自我的iPhone … ------------------ 原始邮件 ------------------ 发件人: spilledyear <notifications@github.com> 发送时间: 2020年6月25日 22:12 收件人: apache/dubbo <dubbo@noreply.github.com> 抄送: 赵延 <1060026287@qq.com>, Comment <comment@noreply.github.com> 主题: 回复：[apache/dubbo] [CVE-2020-1948] 漏洞修复方案讨论 (#6364) 可行。我的版本是针对2.7.2 大佬，安全测试这一块我该这么做呢？就是我修改之后，该如何确认我这个修改是生效了呢？能指导一下啊吗？没接触过这快 — You are receiving this because you commented. Reply to this email directly, view it on GitHub, or unsubscribe. 感谢。但是我在consumer端改成了一个不存在的methodName, 并没有在provider发现执行了RpcInvocation的toString方法啊.只是抛出了 Not found method "cccccc" in — You are receiving this because you commented. Reply to this email directly, view it on GitHub, or unsubscribe.

path 是个final变量，有什么办法可以修改吗？

[spilledyear]

你把path改成不存在的看看。provider通过path:port去找的invoked.我看ruilin说的当method或者interface不存在时会出现该问题，我认为应该是interface不存在时才会出该问题。 发自我的iPhone
…
------------------ 原始邮件 ------------------ 发件人: spilledyear <notifications@github.com> 发送时间: 2020年6月26日 21:27 收件人: apache/dubbo <dubbo@noreply.github.com> 抄送: 赵延 <1060026287@qq.com>, Comment <comment@noreply.github.com> 主题: 回复：[apache/dubbo] [CVE-2020-1948] 漏洞修复方案讨论 (#6364) 你基于dubbo的Demo.在DubboInvoker的doInvoke方法中。强制把interface写成一个不存在的。在provider端看看最后会不会对arguments进行toString方法。本次的安全漏洞就是基于对arguments进行了toString导致的 发自我的iPhone … ------------------ 原始邮件 ------------------ 发件人: spilledyear <notifications@github.com> 发送时间: 2020年6月25日 22:12 收件人: apache/dubbo <dubbo@noreply.github.com> 抄送: 赵延 <1060026287@qq.com>, Comment <comment@noreply.github.com> 主题: 回复：[apache/dubbo] [CVE-2020-1948] 漏洞修复方案讨论 (#6364) 可行。我的版本是针对2.7.2 大佬，安全测试这一块我该这么做呢？就是我修改之后，该如何确认我这个修改是生效了呢？能指导一下啊吗？没接触过这快 — You are receiving this because you commented. Reply to this email directly, view it on GitHub, or unsubscribe. 感谢。但是我在consumer端改成了一个不存在的methodName, 并没有在provider发现执行了RpcInvocation的toString方法啊.只是抛出了 Not found method "cccccc" in — You are receiving this because you commented. Reply to this email directly, view it on GitHub, or unsubscribe.

path 是个final变量，有什么办法可以修改吗？

感谢！path改过之后确实发现在provider端执行了 RpcInvocation.toString 方法

[aquariuspj]

引用rui0的话，“这里需要注意一下，因为最近的Dubbo反序列化漏洞公布了。所以需要补充一下，因为主题的关系文章中只提到了Dubbo的toString触发点，但是Dubbo实际上在刚传入序列化值时也有一个触发点，漏洞公布的邮件里并没有涉及全部的细节以及poc，所以一些版本如果在代码层面只去掉输出arguments处理，仍然还有其他触发位置可能存在风险。
建议各位开发者尽量采取升级措施，或在代码层面去掉arguments的输出同时对Hessian进行加固。”
我觉得有两个修复思路：

1. 在代码层面去掉arguments的输出，同时对Hessian进行加固（这点很重要，2.7.7没有彻底修复此问题）。
2. 暂时先使用其他协议来替代hessian2。