Apache Dubbo多個反序列化漏洞安全風險通告
攻擊者可能利用此漏洞獲取敏感信息或執行惡意代碼。
漏洞概述
| |||
漏洞名稱 | Apache Dubbo多個反序列化漏洞 | ||
漏洞編號 | CVE-2023-29234、CVE-2023-46279 | ||
公開時間 | 2023-12-15 | 影響對象數量級 | 十萬級 |
奇安信評級 | 高危 | CVSS 評分 | 7.7、8.1 |
威脅類型 | 信息泄露、代碼執行 | 利用可能性 | 中 |
POC狀態 | 未公開 | 在野利用狀態 | 未發現 |
EXP狀態 | 未公開 | 技術細節狀態 | 未公開 |
危害描述:攻擊者可能利用此漏洞獲取敏感信息或執行惡意代碼。 | |||
01 漏洞詳情
影響組件
Apache Dubbo 是一款高性能、輕量級的開源 Java 服務框架。Apache Dubbo提供了六大核心能力:面向接口代理的高性能RPC調用,智能容錯和負載均衡,服務自動注冊和發現,高度可擴展能力,運行期流量調度,可視化的服務治理與運維。
漏洞描述
近日,奇安信CERT監測到Apache Dubbo發布新版本修復了Apache Dubbo 反序列化漏洞(CVE-2023-46279)與Apache Dubbo 反序列化漏洞(CVE-2023-29234),攻擊者通過向系統發送惡意數據包利用這些漏洞,成功后可以讀取敏感信息或執行惡意代碼。
漏洞名稱 | 漏洞描述 |
Apache Dubbo發布新版本修復了Apache Dubbo 反序列化漏洞(CVE-2023-46279) | Apache Dubbo中存在反序列化漏洞,攻擊者利用該漏洞可以繞過拒絕反序列化列表檢查觸發反序列化錯誤,最終泄露敏感信息或執行惡意代碼。 |
Apache Dubbo 反序列化漏洞(CVE-2023-29234) | Apache Dubbo中存在反序列化漏洞,攻擊者可以通過向系統發生惡意數據包繞過反序列化檢查,觸發反序列化漏洞,泄露敏感信息或執行惡意代碼。 |
鑒于此產品用量較大,建議客戶盡快做好自查及防護。
02 影響范圍
影響版本
Apache Dubbo 反序列化漏洞(CVE-2023-46279):
Apache Dubbo == 3.1.5
Apache Dubbo 反序列化漏洞(CVE-2023-29234):
Apache Dubbo 3.2.x <= 3.2.4
Apache Dubbo 3.1.x <= 3.1.10
其他受影響組件
無
03 處置建議
安全更新
目前官方已有可更新版本,建議受影響用戶升級至最新版本。
https://github.com/apache/dubbo/releases
04 參考資料
[1]https://lists.apache.org/thread/zw53nxrkrfswmk9n3sfwxmcj7x030nmo
[2]https://lists.apache.org/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77
[3]https://github.com/apache/dubbo/releases
