安全公告 on Apache Dubbo

序列化安全

Mon, 01 Jan 0001 00:00:00 +0000

概述

Dubbo 支持序列化协议的扩展，理论上用户可以基于该扩展机制启用任意的序列化协议，这带来了极大的灵活的，但同时也要意识到其中潜藏的安全性风险。数据反序列化是最容易被被攻击者利用的一个环节，攻击者利用它执行 RCE 攻击等窃取或破坏服务端数据。用户在切换序列化协议或实现前，应充分调研目标序列化协议及其框架实现的安全性保障，并提前设置相应的安全措施（如设置黑/白名单）。 Dubbo 框架自身并不能直接保证目标序列化机制的安全性。

Dubbo 2.7 官方版本提供的序列化协议有如下几种：

Hessian2
Fastjson
Kryo
FST
JDK
Protostuff
Protocol Buffers
Avro
Gson

从 Dubbo 3.0 开始默认仅提供以下序列化协议支持：

Hessian2
JDK
Protocol Buffers

从 Dubbo 3.2 开始默认提供以下序列化协议支持：

Hessian2
Fastjson2
JDK
Protocol Buffers

出于安全性考虑，从 Dubbo 3.3 开始将默认仅提供以下序列化协议支持：

Hessian2
Fastjson2
Protocol Buffers

针对以上序列化扩展，在发现或收到相关的漏洞报告之后，Dubbo 官方会跟进并升级依赖到最新的安全版本，但最终的漏洞修复方案取决于序列化的框架实现。

针对使用 dubbo hessian2 版本的用户，Dubbo 官方会保证hessian2序列化机制的安全性并尽可能的修复上报的安全漏洞

此外，从 Dubbo 3.2 版本开始，对于 Hessian2 和 Fastjson2 默认采用白名单机制，如果您发现部分数据处理移除，可以参考文档进行配置。

全面加固

为了尽可能提高应用序列化的安全性，Dubbo3.0在序列化协议安全方面进行了升级加固，推荐使用 Tripe 协议的非 Wrapper 模式。该协议默认安全，但需要开发人员编写IDL文件。

Triple 协议 Wrapper 模式下，允许兼容其它序列化数据，提供了良好的兼容性。但其它协议可能存在反序列化安全缺陷，对于 Hessian2 协议，高安全属性用户应当按照 samples 代码指示，开启白名单模式，框架默认会开启黑名单模式，拦截恶意调用。

RPC 协议安全

Mon, 01 Jan 0001 00:00:00 +0000

Dubbo 支持 RPC 协议的扩展，理论上用户可以基于该扩展机制启用任意的 RPC 协议，这带来了极大的灵活的，但同时也要意识到其中潜藏的安全性风险。

Dubbo 2.7 官方版本提供的序列化协议有如下几种：

Dubbo
RMI
Hessian
Http / Rest
Webservice
Thrift
gRPC
……

从 Dubbo 3.0 开始默认仅提供以下序列化协议支持：

Dubbo
Triple / gRPC
Http / Rest

对于 Triple、gRPC、Http、Rest 协议都是基于 HTTP 协议构建的，可以严格区分请求的格式，如 Header 为纯文本，避免在读取 Token 时带来的 RCE 等风险。对于 Dubbo 协议，由于其基于 TCP 二进制直接设计，除了特定几个字段外均使用序列化协议写入，因此如果开启了有风险的序列化协议，仍然会存在 RCE 等风险。对于 RMI 协议，由于其基于 Java 序列化机制，存在 RCE 等风险。对于 Hessian 协议，由于其基于 Hessian 序列化机制，且默认 Hessian 协议（非 Dubbo Shade 的 Hessian-Lite 协议）无法配置黑白名单且无默认黑名单，存在 RCE 等风险。

（1）如果用户希望使用 Token 鉴权机制，防止未鉴权的不可信请求来源威胁 Provider 的安全性，应使用 Triple 等基于 Http 标准扩展的协议，避免 token 参数读取时的安全风险。

注册中心安全

Mon, 01 Jan 0001 00:00:00 +0000

Dubbo 支持注册中心的扩展，理论上用户可以基于该扩展机制启用任意的注册中心，这带来了极大的灵活的，但同时也要意识到其中潜藏的安全性风险。

Dubbo 2.7 官方版本提供的注册中心有如下几种：

Zookeeper
Redis
Nacos
Etcd
Consul
……

从 Dubbo 3.0 开始默认仅提供以下注册中心支持：

Zookeeper
Nacos

对于注册中心，Dubbo 只能完全信任其推送的数据，因此如果注册中心存在安全漏洞，可能会导致 Dubbo 服务被恶意注册或者是被恶意推送数据，从而导致服务被攻击。因此为了保证注册中心的安全性，Dubbo 官方建议您：

开启注册中心的鉴权机制，如 Zookeeper 的 ACL 机制、Nacos 的用户名密码机制等
避免将注册中心暴露在公网环境下，尽量将注册中心部署在可信内网环境下

Dubbo Admin 安全

Mon, 01 Jan 0001 00:00:00 +0000

为了便于使用 Dubbo，Dubbo 官方提供了 Dubbo Admin 控制台，以便于管理 Dubbo 应用。

风险

Dubbo Admin 默认拥有整个集群的查询、调用权限，因此对于线上环境，需要更加谨慎地使用。此外，为了减低任意访问 Dubbo Admin 的风险，Dubbo Admin 还提供了简易的鉴权机制。为了使 Dubbo Admin 更安全，请参考下面的文档。

鉴权方案

Dubbo Admin 默认提供基于用户名密码的登陆机制，在请求过程中基于 JWT Token 进行鉴权。从便于初学者的角度出发，Dubbo Admin 包含了一个默认的用户名密码、JWT Secret Token。

由于 Dubbo Admin 是公开发行的，因此默认的用户名密码、JWT Secret Token 都是公开的。在您的生产环境中，请务必更换默认的用户名密码、JWT Secret Token。

如何更换默认的用户名密码、JWT Secret Token

对于直接基于 Java 代码打包部署的用户，可以直接修改 dubbo-admin-server/src/main/resources/application.properties 中以下配置：

admin.root.user.name=root
admin.root.user.password=root
admin.check.signSecret=86295dd0c4ef69a1036b0b0c15158d77

对于通过 Docker 部署的用户，可以修改 /dubbo/dubbo-admin/properties 中以下配置：

admin.root.user.name=root
admin.root.user.password=root
admin.check.signSecret=86295dd0c4ef69a1036b0b0c15158d77

对于通过 Kubernetes 部署的用户，可以修改 ConfigMap 中以下配置：

admin.root.user.name=root
admin.root.user.password=root
admin.check.signSecret=86295dd0c4ef69a1036b0b0c15158d77

对于通过 Helm 部署的用户，可以指定以下配置：

Log4j 漏洞影响

Mon, 01 Jan 0001 00:00:00 +0000

最近，主流日志组件 log4j2 爆出安全漏洞 CVE-2021-44228。

以下是漏洞 CVE-2021-44228 对 Apache Dubbo 框架的影响总结及用户应对指南。

Dubbo 影响范围

该漏洞对 Dubbo 框架使用安全并无影响。

Dubbo 本身不强依赖 log4j2 框架，也不会通过依赖传递将 log4j2 带到业务工程中去，因此，正在使用 Dubbo 2.7.x、3.0.x 等版本的用户均无需强制升级 Dubbo 版本。

以下是 Dubbo 各组件对 log4j2 的依赖分析，涉及 dubbo-common、dubbo-spring-boot-starter、dubbo-spring-boot-actuator：

dubbo-common 包含对 log4j-core 的可选依赖，请检查项目自身是否启用了 log4j 依赖，如启用则对应升级即可。

[INFO] --- maven-dependency-plugin:3.1.2:tree (default-cli) @ dubbo-common ---
[INFO] org.apache.dubbo:dubbo-common:jar:2.7.14-SNAPSHOT
[INFO] +- org.apache.logging.log4j:log4j-api:jar:2.11.1:provided
[INFO] \- org.apache.logging.log4j:log4j-core:jar:2.11.1:provided

dubbo-spring-boot-starter 通过 spring-boot 组件传递了 log4j-api 依赖，log4j-api 本身并无安全问题，升级 log4j-core 组件时注意与 log4j-api 的兼容性

[INFO] --- maven-dependency-plugin:3.1.2:tree (default-cli) @ dubbo-spring-boot-starter ---
[INFO] org.apache.dubbo:dubbo-spring-boot-starter:jar:2.7.14-SNAPSHOT
[INFO] \- org.springframework.boot:spring-boot-starter:jar:2.3.1.RELEASE:compile (optional) 
[INFO] \- org.springframework.boot:spring-boot-starter-logging:jar:2.3.1.RELEASE:compile (optional) 
[INFO] \- org.apache.logging.log4j:log4j-to-slf4j:jar:2.13.3:compile (optional) 
[INFO] \- org.apache.logging.log4j:log4j-api:jar:2.13.3:compile (optional)

dubbo-spring-boot-actuator 通过 spring-boot 组件传递了 log4j-api 依赖，log4j-api 本身并无安全问题，升级 log4j-core 组件时应注意与 log4j-api 的兼容性

[INFO] org.apache.dubbo:dubbo-spring-boot-actuator:jar:2.7.14-SNAPSHOT
[INFO] \- org.springframework.boot:spring-boot-starter-web:jar:2.3.1.RELEASE:compile (optional) 
[INFO] \- org.springframework.boot:spring-boot-starter:jar:2.3.1.RELEASE:compile
[INFO] \- org.springframework.boot:spring-boot-starter-logging:jar:2.3.1.RELEASE:compile
[INFO] \- org.apache.logging.log4j:log4j-to-slf4j:jar:2.13.3:compile
[INFO] \- org.apache.logging.log4j:log4j-api:jar:2.13.3:compile