Apache Dubbo 高危漏洞通告
前沿技术早知道,弯道超车有希望
积累超车资本,从关注DD开始
作者:360CERT, 图文编辑:xj
来源:https://www.oschina.net/news/178522
报告编号:B6-2022-011403
报告来源:360CERT
报告作者:360CERT
更新日期:2022-01-14
1 漏洞简述
2022年01月14日,360CERT监测发现Apache
官方 发布了Apache Dubbo hessian-lite
的风险通告,漏洞编号为CVE-2021-43297
,漏洞等级:高危
,漏洞评分:7.5
。
Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
对此,360CERT建议广大用户及时将Apache Dubbo
升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
2 风险等级
360CERT对该漏洞的评定结果如下
3 漏洞详情
CVE-2021-43297: Apache Dubbo代码执行漏洞
CVE: CVE-2021-43297
组件: Apache Dubbo
漏洞类型: 反序列化
影响: 代码执行
简述: Apache Dubbo hessian-lite 3.2.11及之前版本存在一个反序列化漏洞。大多数Dubbo用户默认使用Hessian2序列化/反序列化协议,在Hessian捕捉到异常时,会注销用户的一些信息,这可能导致远程命令执行。
4 影响版本
5 修复建议
通用修补建议
根据影响版本
中的信息,排查并升级到安全版本
。下载链接:https://github.com/apache/dubbo/releases
6 时间线
2022-01-09 Apache官方发布通告
2022-01-14 360CERT发布通告
7 参考链接
https://lists.apache.org/thread/1mszxrvp90y01xob56yp002939c7hlww
推荐阅读
前沿技术早知道,弯道超车有希望
积累超车资本,从关注DD开始
点击阅读原文,送你免费Spring Boot教程!