Apache Dubbo Hession反序列化漏洞預(yù)警 （CVE-2022-39198）

2022-10-21

一、概要

近日，華為云關(guān)注到Apache官方發(fā)布安全公告，披露在Apache Dubbo hessian-lite 3.2.12及之前版本存在反序列化漏洞（CVE-2022-39198），未經(jīng)授權(quán)的攻擊者可通過構(gòu)造惡意請求在目標系統(tǒng)上執(zhí)行任意代碼。

Apache Dubbo是一款微服務(wù)開發(fā)框架。華為云提醒使用Apache Dubbo的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急） 

三、漏洞影響范圍

影響版本：

Apache Dubbo 2.7.x版本：<= 2.7.17

Apache Dubbo 3.0.x版本：<= 3.0.11

Apache Dubbo 3.1.x版本：<= 3.1.0

安全版本：

Apache Dubbo 2.7.x版本：>= 2.7.18

Apache Dubbo 3.0.x版本：>= 3.0.12

Apache Dubbo 3.1.x版本：>= 3.1.1

四、漏洞處置

目前官方已在高版本中修復了該漏洞，請受影響的用戶升級至安全版本：

https://github.com/apache/dubbo/tags

注：修復漏洞前請將資料備份，并進行充分測試。