漏洞名称:
Apache Dubbo多个漏洞安全通告
组件名称:
Apache Dubbo
安全公告链接:
https://lists.apache.org/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77
https://lists.apache.org/thread/zw53nxrkrfswmk9n3sfwxmcj7x030nmo
官方解决方案:
已发布
漏洞分析
Apache Dubbo是一款微服务框架,为大规模微服务实践提供高性能RPC通信、流量治理、可观测性等解决方案。
近日,深信服安全团队监测到一则Apache Dubbo官方发布安全补丁的通告,共修复了2个安全漏洞,其中包含2个高危漏洞的信息。
高危漏洞描述
1.Apache Dubbo 反序列化漏洞(CVE-2023-46279)
Apache Dubbo中存在反序列化漏洞,攻击者利用该漏洞执行反序列化恶意代码,导致服务器失陷。
2.Apache Dubbo 反序列化漏洞(CVE-2023-29234)
Apache Dubbo中存在反序列化漏洞,攻击者利用该漏洞执行反序列化恶意代码,导致服务器失陷。
影响范围
Apache Dubbo 反序列化漏洞 (CVE-2023-46279):
Apache Dubbo = 3.1.5
Apache Dubbo 反序列化漏洞 (CVE-2023-29234):
Apache Dubbo 3.2.x ≤ 3.2.4
Apache Dubbo 3.1.x ≤ 3.1.10
解决方案
1.如何检测组件系统版本
(1)打开命令行或终端窗口。
(2)在窗口中输入以下命令:
mvn dependency:tree | grep dubbo
(3)该命令将列出所有与Dubbo相关的依赖项,包括版本号。
官方已有可更新版本,建议受影响用户升级至最新版本。https://github.com/apache/dubbo/releases
参考链接
https://lists.apache.org/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77
https://lists.apache.org/thread/zw53nxrkrfswmk9n3sfwxmcj7x030nmo
时间轴
深瞳漏洞实验室监测到Apache Dubbo官方发布安全通告。
深瞳漏洞实验室发布漏洞通告。
原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】Apache Dubbo多个漏洞安全通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论