关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

【安全预警】Apache Dubbo多个远程代码执行漏洞

发布时间:2021-06-24 12:19:27

一、概要

近日,昊之云关注到国外安全研究人员披露了Apache Dubbo多个高危漏洞细节,攻击者利用漏洞可实现远程代码执行,目前漏洞POC已公开,漏洞风险高。

CVE-2021-25641:Hessian2协议反序列化漏洞,攻击者可利用其他协议绕过Hessian2黑名单造成反序列化;

CVE-2021-30179:Generic filter远程代码执行漏洞,Apache Dubbo Generic filter存在过滤不严,攻击者可构造恶意请求调用恶意方法从而造成远程代码执行;

CVE-2021-32824:Telnet handler远程代码执行漏洞:Apache Dubbo Telnet handler在处理相关请求时,允许攻击者调用恶意方法从而造成远程代码执行;

CVE-2021-30180:YAML反序列化漏洞,Apache Dubbo多处使用了yaml.load,攻击者在控制如ZooKeeper注册中心后可上传恶意配置文件从而造成了Yaml反序列化漏洞;

CVE-2021-30181:Nashorn 脚本远程代码执行漏洞,攻击者在控制如ZooKeeper注册中心后可构造恶意请求注入Nashorn脚本,造成远程代码执行。

Apache Dubbo是一款应用广泛的高性能轻量级的Java RPC分布式服务框架。华为云提醒使用Apache Dubbo的用户及时安排自检并做好安全加固以降低安全风险。

参考链接:https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

Apache Dubbo < 2.7.10

Apache Dubbo < 2.6.10

安全版本:

Apache Dubbo 2.7.10

Apache Dubbo 2.6.10

四、漏洞处置

目前官方已在新版本中修复了该漏洞,请受影响的用户及时升级至安全版本。

https://github.com/apache/dubbo/releases

注:修复漏洞前请将资料备份,并进行充分测试。


/template/Home/Zkeys/PC/Static