2021年9月1日,阿里云应急响应中心监测到国外安全研究人员披露Apache Dubbo多个高危漏洞详情。
01
漏洞描述
Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。2021年8月31日,国外安全研究人员披露Apache Dubbo多个高危漏洞详情:
CVE-2021-36162 中,Apache Dubbo多处使用了yaml.load,攻击者在控制如ZooKeeper注册中心后可上传恶意配置文件从而造成了Yaml反序列化漏洞。
CVE-2021-36163 中,Apache Dubbo中使用了不安全的Hessian 协议,攻击者可以利用此漏洞触发反序列化,造成远程代码执行漏洞。
阿里云应急响应中心提醒 Apache Dubbo 用户尽快采取安全措施阻止漏洞攻击。
02
漏洞评级
CVE-2021-36162 Apache Dubbo Yaml 反序列化漏洞 高危
CVE-2021-36163 Apache Dubbo Hessian2 协议反序列化漏洞 高危
| 漏洞细节 | 漏洞PoC | 漏洞EXP | 在野利用 |
| 公开 |
公开 |
未公开 |
未知 |
03
03
03
影响版本
2.7.0 <= Dubbo <= 2.7.12
3.0.0 <= Dubbo <= 3.0.1
04
03
03
安全版本
Apache Dubbo 2.7.13
Apache Dubbo 3.0.2
05
安全建议
1、升级 Apache Dubbo 至最新版本
2、利用阿里云安全组功能设置 Apache Dubbo 相关端口仅对可信地址开放。
06
相关链接
https://help.aliyun.com/noticelist/articleid/1060900378.html
https://securitylab.github.com/advisories/GHSL-2021-094-096-apache-dubbo
本文始发于微信公众号(阿里云应急响应):【漏洞通告】Apache Dubbo多个高危漏洞(CVE-2021-36162、CVE-2021-36163)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论