高危!Apache Dubbo遠程代碼執行漏洞
0x01漏洞狀態
漏洞細節 漏洞POC 漏洞EXP 在野利用 否 未知 未知 未知 |
0x02漏洞描述
Apache Dubbo是一款微服務開發框架,它提供了RPC通信與微服務治理兩大關鍵能力。使應用可通過高性能的 RPC 實現服務的輸出和輸入功能,可以和 Spring 框架無縫集成。
2022年1月13日,360漏洞云團隊監測到Apache發布安全公告,修復了一個Apache Dubbo中的遠程代碼執行漏洞。漏洞編號:CVE-2021-43297,漏洞威脅等級:高危。
Apache Dubbo遠程代碼執行漏洞
Apache Dubbo遠程代碼執行漏洞 漏洞編號 CVE-2021-43297 漏洞類型 遠程代碼執行 漏洞等級 高危 公開狀態 未知 在野利用 未知 漏洞描述 由于在Dubbo的hessian-lite中存在反序列化漏洞,未經身份驗證的攻擊者可利用該漏洞在目標系統上遠程執行任意代碼。大多數Dubbo用戶默認使用Hessian2作為序列化/反序列化協議,在Hessian 捕獲到異常時,Hessian將會注銷一些用戶信息,這可能會導致遠程命令執行。 |
0x03漏洞等級
高危
0x04影響版本
Apache Dubbo 2.6.x < 2.6.12
Apache Dubbo 2.7.x < 2.7.15
Apache Dubbo 3.0.x < 3.0.5
0x05
修復建議
臨時防護方案
1. 關閉對公網開放的Dubbo服務端端口,僅允許可信任的IP訪問。
2. Dubbo協議默認使用Hessian進行序列化和反序列化。在不影響業務的情況下,建議更換協議以及反序列化方式。具體方法請參考官方文檔:http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html
正式防護方案
廠商已發布補丁修復漏洞,用戶請盡快更新至安全版本:
3.0.5、 2.7.15、 2.6.12
與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
