漏洞安全|Apache Dubbo远程代码执行漏洞修复通告

　　近日，安全狗应急响应中心监测到，国外安全研究人员披露Apache Dubbo多个高危漏洞。攻击者可能利用漏洞造成远程代码执行等危害。漏洞编号：CVE-2021-36162、CVE-2021-36163。

　　Apache Dubbo远程代码执行漏洞描述

　　Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。

　　Apache Dubbo YAML 反序列化漏洞(CVE-2021-36162)

　　Apache Dubbo中存在YAML 反序列化漏洞，可以访问配置中心的攻击者可以利用此漏洞远程执行任意代码。

　　Apache Dubbo远程代码执行漏洞(CVE-2021-36163)

　　Apache Dubbo使用了不安全的Hessian 协议(可选)，导致不安全的反序列化，攻击者可以利用此漏洞远程执行任意代码。

　　此外，SecurityLab还公开了Apache Dubbo中的另一个RCE漏洞(GHSL-2021-096，拒绝修复)，由于Apache Dubbo使用了不安全的 RMI 协议，导致不安全的反序列化，攻击者能够发送任意类型的参数并远程执行任意代码。

　　Apache Dubbo远程代码执行漏洞安全通告信息

　　漏洞名称：Apache Dubbo多个远程代码执行漏洞风险

　　漏洞影响版本：Apache Dubbo =< 2.7.10

　　漏洞危害等级：高危

　　厂商是否已发布漏洞补丁：是

　　版本更新地址：https://dubbo.apache.org/en/downloads/

　　Apache Dubbo远程代码执行漏洞处置措施

　　安全版本

　　Apache Dubbo 2.7.13

　　Apache Dubbo远程代码执行漏洞安全建议

　　针对CVE-2021-36162、CVE-2021-36163 Apache Dubbo官方已发布补丁，建议您尽快升级相关组件，避免影响业务。

　　由于GHSL-2021-096问题官方暂未给出修复措施，建议用户启用 JEP 290机制来临时缓解。

　　CVE-2021-36162补丁链接：

　　https://github.com/apache/dubbo/pull/8350

　　CVE-2021-36163补丁链接：

　　https://github.com/apache/dubbo/pull/8238