【安全風險通告】Apache Dubbo多個高危漏洞安全風險通告
近日,奇安信CERT監測到國外安全研究人員披露Apache Dubbo多個高危漏洞詳情,其中包括Apache Dubbo YAML反序列化漏洞(CVE-2021-36162):解析攻擊者構造的惡意YAML規則時,使用SnakeYAML進行反序列化從而造成遠程代碼執行;Apache Dubbo Hessian協議反序列化漏洞(CVE-2021-36163):當Apache Dubbo服務提供者使用Hessian協議暴露服務時,攻擊者可利用此漏洞觸發反序列化漏洞,造成遠程代碼執行;Apache Dubbo RMI協議反序列化漏洞:由于Apache Dubbo使用了不安全的RMI協議,可觸發反序列化漏洞,造成遠程代碼執行。
目前,Apache Dubbo多個高危漏洞詳情已公開,漏洞現實威脅提升。同時官方已發布修復版本,奇安信CERT強烈建議客戶盡快修復漏洞并自查服務器的安全狀況。
當前漏洞狀態
漏洞描述
Apache Dubbo是一款應用廣泛的Java RPC分布式服務框架。該項目最初由阿里巴巴開發,于2011年開源,并在2018年進入Apache孵化器,它提供了三大核心能力:面向接口的遠程方法調用,智能容錯和負載均衡,以及服務自動注冊和發現。
近日,奇安信CERT監測到國外安全研究人員披露Apache Dubbo多個高危漏洞詳情,其中包括:
Apache Dubbo YAML反序列化漏洞(CVE-2021-36162):解析攻擊者構造的惡意YAML規則時,使用SnakeYAML進行反序列化從而造成遠程代碼執行;
Apache Dubbo Hessian協議反序列化漏洞(CVE-2021-36163):當Apache Dubbo服務提供者使用Hessian協議暴露服務時,攻擊者可利用此漏洞觸發反序列化漏洞,造成遠程代碼執行;
Apache Dubbo RMI協議反序列化漏洞(GHSL-2021-096):由于Apache Dubbo使用了不安全的RMI協議,可觸發反序列化漏洞,造成遠程代碼執行,可通過應用JEP 290規范來規避此漏洞。
目前,Apache Dubbo多個高危漏洞詳情已公開,漏洞現實威脅提升。同時官方已發布修復版本,奇安信CERT強烈建議客戶盡快修復漏洞并自查服務器的安全狀況。
1、CVE-2021-36162 Apache Dubbo YAML反序列化漏洞
2、CVE-2021-36163 Apache Dubbo Hessian 協議反序列化漏洞
3、Apache Dubbo RMI協議反序列化漏洞
奇安信CERT已復現Apache Dubbo Hessian協議反序列化漏洞(CVE-2021-36163),復現截圖如下:
風險等級
奇安信 CERT風險評級為:高危
風險等級:藍色(一般事件)
影響范圍
2.7.0 <= Dubbo <= 2.7.12
3.0.0 <= Dubbo <= 3.0.1
處置建議
目前官方已發布Apache Dubbo安全版本,建議盡快升級至安全版本:
Apache Dubbo 2.7.13
Apache Dubbo 3.0.2
此外,Apache Dubbo RMI協議反序列化漏洞可通過應用JEP 290規范來規避此漏洞。
