​【漏洞预警】Apache Dubbo Hessian-Lite高危安全漏洞风险提示

发布者:系统管理员发布时间:2022-01-11浏览次数:0

Apache Dubbo Hessian-Lite高危安全漏洞风险提示:

 

【漏洞公告】

  2022年1月11日,Apache Dubbo官方发布安全公告,dubbo hessian-lite 3.2.11 及其早期版本存在反序列化漏洞(CVE-2021-43297),攻击者利用该漏洞可远程执行任意代码。

  相关链接:

https://www.mail-archive.com/dev@dubbo.apache.org/msg07443.html

                           当前漏洞状态

细节是否公开

POC状态

EXP状态

在野利用

未知

未知

未知

 

【影响范围】

  漏洞影响版本:

  Apache Dubbo 2.6.x <2.6.12

  Apache Dubbo 2.7.x <2.7.15

  Apache Dubbo 3.0.x <3.0.5

 

【漏洞描述】

  Dubbo是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的RPC实现服务的输出和输入功能,可以和Spring框架无缝集成。

  CVE-2021-43297据官方描述,Dubbo Hessian-Lite 3.2.11及之前版本中存在反序列化漏洞可能导致恶意代码执行。大多数 Dubbo 用户默认使用 Hessian2序列化/反序列化协议,Hessian捕获异常期间,Hessian会注销一些信息,这可能导致远程命令执行。

 

【缓解措施】

  高危:目前漏洞利用代码暂未公开,但可以通过补丁对比方式定位漏洞触发点并开发漏洞利用代码,官方已发布漏洞补丁及修复版本,建议部署了Apache Dubbo的用户尽快排查是否受影响,酌情升级至安全版本。

  处置措施:

  1、升级Apache Dubbo至安全版本,具体建议如下:

1)使用Dubbo 2.6.x的用户,请升级到2.6.12

2)使用Dubbo 2.7.x的用户,请升级到2.7.15

3)使用Dubbo 3.0.x的用户,请升级到3.0.5

  下载地址:https://github.com/apache/dubbo/releases