服務(wù)公告

全部公告 > 安全公告 > Apache Dubbo多個(gè)遠(yuǎn)程代碼執(zhí)行漏洞

Apache Dubbo多個(gè)遠(yuǎn)程代碼執(zhí)行漏洞

一、概要

近日，華為云關(guān)注到國(guó)外安全研究人員披露了Apache Dubbo多個(gè)高危漏洞細(xì)節(jié)，攻擊者利用漏洞可實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，目前漏洞POC已公開(kāi)，漏洞風(fēng)險(xiǎn)高。

CVE-2021-25641：Hessian2協(xié)議反序列化漏洞，攻擊者可利用其他協(xié)議繞過(guò)Hessian2黑名單造成反序列化；

CVE-2021-30179：Generic filter遠(yuǎn)程代碼執(zhí)行漏洞，Apache Dubbo Generic filter存在過(guò)濾不嚴(yán)，攻擊者可構(gòu)造惡意請(qǐng)求調(diào)用惡意方法從而造成遠(yuǎn)程代碼執(zhí)行；

CVE-2021-32824：Telnet handler遠(yuǎn)程代碼執(zhí)行漏洞：Apache Dubbo Telnet handler在處理相關(guān)請(qǐng)求時(shí)，允許攻擊者調(diào)用惡意方法從而造成遠(yuǎn)程代碼執(zhí)行；

CVE-2021-30180：YAML反序列化漏洞，Apache Dubbo多處使用了yaml.load，攻擊者在控制如ZooKeeper注冊(cè)中心后可上傳惡意配置文件從而造成了Yaml反序列化漏洞；

CVE-2021-30181：Nashorn 腳本遠(yuǎn)程代碼執(zhí)行漏洞，攻擊者在控制如ZooKeeper注冊(cè)中心后可構(gòu)造惡意請(qǐng)求注入Nashorn腳本，造成遠(yuǎn)程代碼執(zhí)行。

Apache Dubbo是一款應(yīng)用廣泛的高性能輕量級(jí)的Java RPC分布式服務(wù)框架。華為云提醒使用Apache Dubbo的用戶(hù)及時(shí)安排自檢并做好安全加固以降低安全風(fēng)險(xiǎn)。

二、威脅級(jí)別

威脅級(jí)別：【嚴(yán)重】

（說(shuō)明：威脅級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Apache Dubbo < 2.7.10

Apache Dubbo < 2.6.10

安全版本：

Apache Dubbo 2.7.10

Apache Dubbo 2.6.10

四、漏洞處置

目前官方已在新版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶(hù)及時(shí)升級(jí)至安全版本。

注：修復(fù)漏洞前請(qǐng)將資料備份，并進(jìn)行充分測(cè)試。