漏洞公告
近日,安恒信息CERT监测到Apache Dubbo官方发布安全更新,修复了一处Apache Dubbo反序列化远程代码执行漏洞(CVE-2023-23638)。该漏洞是由于Dubbo在序列化时检查不够全面,允许对Dubbo具有访问权限的攻击者,通过构造恶意请求绕过检查触发反序列化,从而执行恶意代码。目前官方发布安全版本,建议受影响的用户尽快采取安全措施。
参考链接:
https://lists.apache.org/thread/8h6zscfzj482z512d2v5ft63hdhzm0cb
一
影响范围
受影响版本:
Apache Dubbo 3.1.x <= 3.1.5
Apache Dubbo 3.0.x <= 3.0.13
Apache Dubbo 2.7.x <= 2.7.21
Apache Dubbo 3.1.6
Apache Dubbo 3.0.14
Apache Dubbo 2.7.22
二
漏洞描述
Apache Dubbo是一款易用、高性能的WEB 和RPC框架,同时为构建企业级微服务提供服务发现、流量治理、可观测、认证鉴权等能力、工具与最佳实践。
Apache Dubbo反序列化远程代码执行漏洞(CVE-2023-23638):该漏洞是由于Dubbo在序列化时检查不够全面,允许对Dubbo具有访问权限的攻击者,通过构造恶意请求绕过检查触发反序列化,从而执行恶意代码。
| 细节是否公开 | POC状态 | EXP状态 | 在野利用 |
| 否 | 未公开 | 未公开 | 未发现 |
三
缓解措施
高危:目前漏洞细节和测试代码虽暂未公开,但恶意攻击者可以通过对比补丁分析出漏洞触发点,建议受影响用户及时升级到安全版本。
1、目前官方已发布安全版本修复上述漏洞,建议受影响的用户升级至安全版本。
下载链接:
https://github.com/apache/dubbo/releases
四
产品防护措施
1、AiLPHA大数据平台&AXDR平台
AiLPHA大数据平台&AXDR平台的流量探针(AiNTA)在第一时间加入了对该漏洞的检测规则,请将规则包升级到1.1.1018版本(AiNTA-v1.2.5_release_ruletag_1.1.1018)及以上版本。
规则名称:Apache Dubbo反序列化远程代码执行漏洞
AiNTA流探针规则升级方法:系统管理->手动升级,选择“上传升级包”。升级成功后,规则版本会变为最新的版本号。请从AiLPHA安全中心下载规则包。
AiLPHA安全中心地址:
如果没有账号,请从页面注册账号。
安恒信息CERT
2023年3月
原文始发于微信公众号(安恒信息CERT):Apache Dubbo反序列化远程代码执行漏洞(CVE-2023-23638)风险提示
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论