高危!Apache Dubbo远程代码执行漏洞
0x01漏洞状态
漏洞细节 漏洞POC 漏洞EXP 在野利用 否 未知 未知 未知 |
0x02漏洞描述
Apache Dubbo是一款微服务开发框架,它提供了RPC通信与微服务治理两大关键能力。使应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring 框架无缝集成。
2022年1月13日,360漏洞云团队监测到Apache发布安全公告,修复了一个Apache Dubbo中的远程代码执行漏洞。漏洞编号:CVE-2021-43297,漏洞威胁等级:高危。
Apache Dubbo远程代码执行漏洞
Apache Dubbo远程代码执行漏洞 漏洞编号 CVE-2021-43297 漏洞类型 远程代码执行 漏洞等级 高危 公开状态 未知 在野利用 未知 漏洞描述 由于在Dubbo的hessian-lite中存在反序列化漏洞,未经身份验证的攻击者可利用该漏洞在目标系统上远程执行任意代码。大多数Dubbo用户默认使用Hessian2作为序列化/反序列化协议,在Hessian 捕获到异常时,Hessian将会注销一些用户信息,这可能会导致远程命令执行。 |
0x03漏洞等级
高危
0x04影响版本
Apache Dubbo 2.6.x < 2.6.12
Apache Dubbo 2.7.x < 2.7.15
Apache Dubbo 3.0.x < 3.0.5
0x05
修复建议
临时防护方案
1. 关闭对公网开放的Dubbo服务端端口,仅允许可信任的IP访问。
2. Dubbo协议默认使用Hessian进行序列化和反序列化。在不影响业务的情况下,建议更换协议以及反序列化方式。具体方法请参考官方文档:http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html
正式防护方案
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:
3.0.5、 2.7.15、 2.6.12
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
