近日,安全狗应急响应中心监测到,国外安全研究人员披露Apache Dubbo多个高危漏洞。攻击者可能利用漏洞造成远程代码执行等危害。漏洞编号:CVE-2021-36162、CVE-2021-36163。
Apache Dubbo远程代码执行漏洞描述
Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。
Apache Dubbo YAML 反序列化漏洞(CVE-2021-36162)
Apache Dubbo中存在YAML 反序列化漏洞,可以访问配置中心的攻击者可以利用此漏洞远程执行任意代码。
Apache Dubbo远程代码执行漏洞(CVE-2021-36163)
Apache Dubbo使用了不安全的Hessian 协议(可选),导致不安全的反序列化,攻击者可以利用此漏洞远程执行任意代码。
此外,SecurityLab还公开了Apache Dubbo中的另一个RCE漏洞(GHSL-2021-096,拒绝修复),由于Apache Dubbo使用了不安全的 RMI 协议,导致不安全的反序列化,攻击者能够发送任意类型的参数并远程执行任意代码。
Apache Dubbo远程代码执行漏洞安全通告信息
漏洞名称:Apache Dubbo多个远程代码执行漏洞风险
漏洞影响版本:Apache Dubbo =< 2.7.10
漏洞危害等级:高危
厂商是否已发布漏洞补丁:是
版本更新地址:https://dubbo.apache.org/en/downloads/
Apache Dubbo远程代码执行漏洞处置措施
安全版本
Apache Dubbo 2.7.13
Apache Dubbo远程代码执行漏洞安全建议
针对CVE-2021-36162、CVE-2021-36163 Apache Dubbo官方已发布补丁,建议您尽快升级相关组件,避免影响业务。
由于GHSL-2021-096问题官方暂未给出修复措施,建议用户启用 JEP 290机制来临时缓解。
CVE-2021-36162补丁链接:
https://github.com/apache/dubbo/pull/8350
CVE-2021-36163补丁链接:
https://github.com/apache/dubbo/pull/8238