当前位置:首页 > 漏洞预警 > 正文

Apache Dubbo多个高危漏洞预警

发布时间:2021-06-28 11:32:45,来源:奇安信、深信服、上海斗象、北京天融信

一、基本情况

近日,国外安全研究人员披露了Apache Dubbo多个高危漏洞的相关细节,相关CVE编号:CVE-2021-25641、CVE-2021-30179、CVE-2021-32824、CVE-2021-3018、CVE-2021-30181。攻击者可利用这些漏洞实现远程代码执行。目前官方已发布新版本修复漏洞,建议受影响用户及时升级新版本进行防护,做好资产自查以及预防工作,以免遭受黑客攻击。

二、 漏洞等级

高危

三、 漏洞描述

Apache Dubbo是一款高性能、轻量级的开源Java服务框架。

Apache Dubbo Hessian2 协议反序列化漏洞(CVE-2021-25641): 

Apache Dubbo 中存在反序列化漏洞,攻击者可在未授权的情况下,通过特制的数据包绕过 Hessian2 协议黑名单限制,实现命令执行。

Apache Dubbo Generic filter 远程代码执行漏洞(CVE-2021-30179):

Apache Dubbo 默认支持对程序接口公开的任意方法的泛型调用,这些调用由 GenericFilter 处理,由于其过滤不严,攻击者可构造恶意请求实现远程代码执行。

Apache Dubbo Telnet handler 远程代码执行漏洞(CVE-2021-32824): 

Apache Dubbo主服务端口允许访问 Telnet handler,攻击者可以调用恶意方法实现远程代码执行。 

Apache Dubbo YAML反序列化漏洞(CVE-2021-30180): 

Apache Dubbo 支持标签路由,客户能够将请求路由到正确的服务器,客户在发出请求为了找到正确的端点时会使用这些规则。在解析这些 YAML规则第3页共7 页时,Dubbo客户可以启用调用任意构造函数。只有启用标签路由器的用户可能会受到影响。

Apache Dubbo Nashorn脚本远程代码执行漏洞(CVE-2021-30181): 

Apache Dubbo 存在远程代码执行漏洞,攻击者控制 ZooKeeper 注册中心后可构造恶意请求注入 Nashorn 脚本,造成任意代码执行。 

四、 影响范围

Apache Dubbo 2.7.0 - 2.7.9

Apache Dubbo 2.6.0 - 2.6.9

五、 安全建议

升级至 2.7.10或者 2.6.10以上版本:

下载地址:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.10

 https://github.com/apache/dubbo/releases/tag/dubbo-2.6.9

六、 参考链接

https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/