服務(wù)公告

全部公告 > 安全公告 > Apache Dubbo多個遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警

Apache Dubbo多個遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警

一、概要

近日，華為云關(guān)注到國外安全研究人員披露了Apache Dubbo多個高危漏洞細(xì)節(jié)，攻擊者利用漏洞可實現(xiàn)遠(yuǎn)程代碼執(zhí)行，目前漏洞利用細(xì)節(jié)已被公開，風(fēng)險較高。

CVE-2021-36162：YAML 反序列化漏洞，Apache Dubbo多處使用了yaml.load，攻擊者在控制如ZooKeeper注冊中心后可上傳惡意配置文件從而造成了Yaml反序列化漏洞；

CVE-2021-36163：Hessian協(xié)議反序列化漏洞，使用了不安全的Hessian 協(xié)議，攻擊者利用漏洞觸發(fā)反序列化，造成遠(yuǎn)程代碼執(zhí)行。

Apache Dubbo是一款應(yīng)用廣泛的高性能輕量級的Java RPC分布式服務(wù)框架。華為云提醒使用Apache Dubbo的用戶及時安排自檢并做好安全加固以降低安全風(fēng)險。

參考鏈接：

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Apache Dubbo =< 2.7.10

安全版本：

Apache Dubbo 2.7.13

四、漏洞處置

目前Apache Dubbo官方已發(fā)布補丁，請受影響的用戶及時升級至安全版本。

CVE-2021-36162：

CVE-2021-36163：

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。