0°

【漏洞通告】Apache Dubbo多个高危漏洞(CVE-2021-36162、CVE-2021-36163)

2021年9月1日,本站安全专题监测到国外安全研究人员披露Apache Dubbo多个高危漏洞详情。

漏洞描述

Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。2021年8月31日,国外安全研究人员披露Apache Dubbo多个高危漏洞详情:

CVE-2021-36162 中,Apache Dubbo多处使用了yaml.load,攻击者在控制如ZooKeeper注册中心后可上传恶意配置文件从而造成了Yaml反序列化漏洞。

CVE-2021-36163 中,Apache Dubbo中使用了不安全的Hessian 协议,攻击者可以利用此漏洞触发反序列化,造成远程代码执行漏洞。

本站安全专题提醒 Apache Dubbo 用户尽快采取安全措施阻止漏洞攻击。

漏洞细节:公开

漏洞POC:公开

漏洞EXP:未公开

在野利用:未知

漏洞评级

CVE-2021-36162 Apache Dubbo Yaml 反序列化漏洞 高危

CVE-2021-36163 Apache Dubbo Hessian2 协议反序列化漏洞 高危

影响版本

2.7.0 <= Dubbo <= 2.7.12

3.0.0 <= Dubbo <= 3.0.1

安全版本

Apache Dubbo 2.7.13

Apache Dubbo 3.0.2

安全建议

1、升级 Apache Dubbo 至最新版本

2、利用安全安全组功能设置 Apache Dubbo 相关端口仅对可信地址开放。

相关链接

https://securitylab.github.com/advisories/GHSL-2021-094-096-apache-dubbo/

我们会关注后续进展,请随时关注官方公告。

如有任何问题,可随时发送邮件至alicloud-vul@alibabacloud.com

本站安全专题

2021.9.1

「点点赞赏,手留余香」

    还没有人赞赏,快来当第一个赞赏的人吧!