服務(wù)公告

全部公告 > 安全公告 > Apache Dubbo多個遠程代碼執(zhí)行漏洞

Apache Dubbo多個遠程代碼執(zhí)行漏洞

一、概要

近日，華為云關(guān)注到國外安全研究人員披露了Apache Dubbo多個高危漏洞細節(jié)，攻擊者利用漏洞可實現(xiàn)遠程代碼執(zhí)行，目前漏洞POC已公開，漏洞風險高。

CVE-2021-25641：Hessian2協(xié)議反序列化漏洞，攻擊者可利用其他協(xié)議繞過Hessian2黑名單造成反序列化；

CVE-2021-30179：Generic filter遠程代碼執(zhí)行漏洞，Apache Dubbo Generic filter存在過濾不嚴，攻擊者可構(gòu)造惡意請求調(diào)用惡意方法從而造成遠程代碼執(zhí)行；

CVE-2021-32824：Telnet handler遠程代碼執(zhí)行漏洞：Apache Dubbo Telnet handler在處理相關(guān)請求時，允許攻擊者調(diào)用惡意方法從而造成遠程代碼執(zhí)行；

CVE-2021-30180：YAML反序列化漏洞，Apache Dubbo多處使用了yaml.load，攻擊者在控制如ZooKeeper注冊中心后可上傳惡意配置文件從而造成了Yaml反序列化漏洞；

CVE-2021-30181：Nashorn 腳本遠程代碼執(zhí)行漏洞，攻擊者在控制如ZooKeeper注冊中心后可構(gòu)造惡意請求注入Nashorn腳本，造成遠程代碼執(zhí)行。

Apache Dubbo是一款應(yīng)用廣泛的高性能輕量級的Java RPC分布式服務(wù)框架。華為云提醒使用Apache Dubbo的用戶及時安排自檢并做好安全加固以降低安全風險。

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

影響版本：

Apache Dubbo < 2.7.10

Apache Dubbo < 2.6.10

安全版本：

Apache Dubbo 2.7.10

Apache Dubbo 2.6.10

四、漏洞處置

目前官方已在新版本中修復了該漏洞，請受影響的用戶及時升級至安全版本。

注：修復漏洞前請將資料備份，并進行充分測試。