Apache Dubbo多個高危漏洞(CVE-2021-30179等)
2021年6月24日,武漢雲之巅應急響應中心監測到國(guó)外安全研究人員披露Apache Dubbo多個高危漏洞詳情。
Apache Dubbo是一款應用廣泛的Java RPC分布式服務框架, 提供了六大核心能(néng)力:面(miàn)向(xiàng)接口代理的高性能(néng)RPC調用,智能(néng)容錯和負載均衡,服務自動注冊和發(fā)現,高度可擴展能(néng)力,運行期流量調度,可視化的服務治理與運維。2021年6月24日,國(guó)外安全研究人員披露Apache Dubbo多個高危漏洞詳情:
CVE-2021-25641 中,攻擊者可利用其他協議繞過(guò)Hessian2黑名單造成(chéng)反序列化。
CVE-2021-30179 中,Apache Dubbo Generic filter存在過(guò)濾不嚴,攻擊者可構造惡意請求調用惡意方法從而造成(chéng)遠程代碼執行。
CVE-2021-32824 中,Apache Dubbo Telnet handler在處理相關請求時,允許攻擊者調用惡意方法從而造成(chéng)遠程代碼執行。
CVE-2021-30180中,Apache Dubbo多處使用了yaml.load,攻擊者在控制如ZooKeeper注冊中心後(hòu)可上傳惡意配置文件從而造成(chéng)了Yaml反序列化漏洞。
CVE-2021-30181中,攻擊者在控制如ZooKeeper注冊中心後(hòu)可構造惡意請求注入Nashorn腳本,造成(chéng)遠程代碼執行。
武漢雲之巅應急響應中心提醒 Apache Dubbo 用戶盡快采取安全措施阻止漏洞攻擊。
漏洞細節:公開(kāi)
漏洞POC:公開(kāi)
漏洞EXP:公開(kāi)
在野利用:未知
漏洞評級
CVE-2021-25641 Apache Dubbo Hessian2 協議反序列化漏洞 高危
CVE-2021-30179 Apache Dubbo Generic filter 遠程代碼執行漏洞 高危
CVE-2021-32824 Apache Dubbo Telnet handler 遠程代碼執行漏洞
CVE-2021-30180 Apache Dubbo YAML 反序列化漏洞 高危
CVE-2021-30181 Apache Dubbo Nashorn 腳本遠程代碼執行漏洞 高危
影響版本
Apache Dubbo >= 2.7.0 且 < 2.7.10
Apache Dubbo >= 2.5.0 且 < 2.6.10
Apache Dubbo 2.5.x 所有版本 (官方不再提供支持)。
安全版本
Apache Dubbo 2.7.10
Apache Dubbo 2.6.10
1、升級 Apache Dubbo 至最新版本
2、利用雲廠商安全組功能(néng)設置 Apache Dubbo 相關端口僅對(duì)可信地址開(kāi)放。
相關鏈接
https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/