风险通告
近日,奇安信CERT监测到国外安全研究人员发布了Apache Dubbo多个漏洞的相关细节,其中包含Apache Dubbo Hessian2 协议反序列化漏洞(CVE-2021-25641),Apache Dubbo Generic filter 远程代码执行漏洞(CVE-2021-30179), Apache Dubbo Telnet handler 远程代码执行漏洞(CVE-2021-32824),Apache Dubbo YAML反序列化漏洞(CVE-2021-30180),Apache Dubbo Nashorn 脚本远程代码执行漏洞(CVE-2021-30181),官方已有可更新版本,鉴于漏洞危害较大,建议用户及时安装更新补丁。
当前漏洞状态
|
细节是否公开 |
PoC状态 |
EXP状态 |
在野利用 |
|
是 |
已公开 |
未知 |
未知 |
近日,奇安信CERT监测到国外安全研究人员发布了Apache Dubbo多个漏洞的相关细节,其中包含:
Apache Dubbo Hessian2 协议反序列化漏洞(CVE-2021-25641):
Apache Dubbo 中存在反序列化漏洞,攻击者可在未授权的情况下,通过特制的数据包绕过Hessian2 协议黑名单限制,实现命令执行。
Apache Dubbo Generic filter 远程代码执行漏洞(CVE-2021-30179):
Apache Dubbo 默认支持对程序接口公开的任意方法的泛型调用,这些调用由 GenericFilter 处理,由于其过滤不严,攻击者可构造恶意请求实现远程代码执行。
Apache Dubbo Telnet handler 远程代码执行漏洞(CVE-2021-32824):
Apache Dubbo 主服务端口允许访问Telnet handler,攻击者可以调用恶意方法实现远程代码执行。
Apache Dubbo 反序列化漏洞YAML(CVE-2021-30180):
Apache Dubbo 支持标签路由,客户能够将请求路由到正确的服务器,客户在发出请求为了找到正确的端点时会使用这些规则。在解析这些 YAML 规则时,Dubbo 客户可以启用调用任意构造函数。只有启用标签路由器的用户可能会受到影响。
Apache Dubbo Nashorn 脚本远程代码执行漏洞(CVE-2021-30181):
Apache Dubbo 存在远程代码执行漏洞,攻击者控制ZooKeeper注册中心后可构造恶意请求注入Nashorn脚本,造成任意代码执行。
目前官方已有可更新版本,鉴于漏洞危害较大,建议用户及时安装更新补丁。
2.7.0 <= Dubbo <= 2.7.8
2.6.0 <= Dubbo <= 2.6.9
2.5.0 <= Dubbo <= 2.5.10(2.5.x官方不再维护)
链接地址:
https://github.com/apache/dubbo/releases/tag/dubbo-2.7.10
https://github.com/apache/dubbo/releases/tag/dubbo-2.6.9
2021年6月24日,奇安信 CERT发布安全风险通告
本文始发于微信公众号(奇安信 CERT):【安全风险通告】Apache Dubbo多个高危漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论