Apache Dubbo Hessian-Lite高危安全漏洞风险提示:
【漏洞公告】
2022年1月11日,Apache Dubbo官方发布安全公告,dubbo hessian-lite 3.2.11 及其早期版本存在反序列化漏洞(CVE-2021-43297),攻击者利用该漏洞可远程执行任意代码。
相关链接:
https://www.mail-archive.com/dev@dubbo.apache.org/msg07443.html
当前漏洞状态
细节是否公开 | POC状态 | EXP状态 | 在野利用 |
否 | 未知 | 未知 | 未知 |
【影响范围】
漏洞影响版本:
Apache Dubbo 2.6.x <2.6.12
Apache Dubbo 2.7.x <2.7.15
Apache Dubbo 3.0.x <3.0.5
【漏洞描述】
Dubbo是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的RPC实现服务的输出和输入功能,可以和Spring框架无缝集成。
CVE-2021-43297,据官方描述,在Dubbo Hessian-Lite 3.2.11及之前版本中存在反序列化漏洞可能导致恶意代码执行。大多数 Dubbo 用户默认使用 Hessian2序列化/反序列化协议,在Hessian捕获异常期间,Hessian会注销一些信息,这可能导致远程命令执行。
【缓解措施】
高危:目前漏洞利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,官方已发布漏洞补丁及修复版本,建议部署了Apache Dubbo的用户尽快排查是否受影响,酌情升级至安全版本。
处置措施:
1、升级Apache Dubbo至安全版本,具体建议如下:
1)使用Dubbo 2.6.x的用户,请升级到2.6.12。
2)使用Dubbo 2.7.x的用户,请升级到2.7.15。
3)使用Dubbo 3.0.x的用户,请升级到3.0.5。
下载地址:https://github.com/apache/dubbo/releases