发布时间:2021-06-28 11:32:45,来源:奇安信、深信服、上海斗象、北京天融信
一、基本情况
近日,国外安全研究人员披露了Apache Dubbo多个高危漏洞的相关细节,相关CVE编号:CVE-2021-25641、CVE-2021-30179、CVE-2021-32824、CVE-2021-3018、CVE-2021-30181。攻击者可利用这些漏洞实现远程代码执行。目前官方已发布新版本修复漏洞,建议受影响用户及时升级新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。
二、 漏洞等级
高危
三、 漏洞描述
Apache Dubbo是一款高性能、轻量级的开源Java服务框架。
Apache Dubbo Hessian2 协议反序列化漏洞(CVE-2021-25641):
Apache Dubbo 中存在反序列化漏洞,攻击者可在未授权的情况下,通过特制的数据包绕过 Hessian2 协议黑名单限制,实现命令执行。
Apache Dubbo Generic filter 远程代码执行漏洞(CVE-2021-30179):
Apache Dubbo 默认支持对程序接口公开的任意方法的泛型调用,这些调用由 GenericFilter 处理,由于其过滤不严,攻击者可构造恶意请求实现远程代码执行。
Apache Dubbo Telnet handler 远程代码执行漏洞(CVE-2021-32824):
Apache Dubbo主服务端口允许访问 Telnet handler,攻击者可以调用恶意方法实现远程代码执行。
Apache Dubbo YAML反序列化漏洞(CVE-2021-30180):
Apache Dubbo 支持标签路由,客户能够将请求路由到正确的服务器,客户在发出请求为了找到正确的端点时会使用这些规则。在解析这些 YAML规则第3页共7 页时,Dubbo客户可以启用调用任意构造函数。只有启用标签路由器的用户可能会受到影响。
Apache Dubbo Nashorn脚本远程代码执行漏洞(CVE-2021-30181):
Apache Dubbo 存在远程代码执行漏洞,攻击者控制 ZooKeeper 注册中心后可构造恶意请求注入 Nashorn 脚本,造成任意代码执行。
四、 影响范围
Apache Dubbo 2.7.0 - 2.7.9
Apache Dubbo 2.6.0 - 2.6.9
五、 安全建议
升级至 2.7.10或者 2.6.10以上版本:
下载地址:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.10
https://github.com/apache/dubbo/releases/tag/dubbo-2.6.9
六、 参考链接
https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/