Apache Dubbo 高危漏洞通告

前沿技术早知道，弯道超车有希望 

积累超车资本，从关注DD开始

作者：360CERT， 图文编辑：xj

来源：https://www.oschina.net/news/178522

报告编号：B6-2022-011403

报告来源：360CERT

报告作者：360CERT

更新日期：2022-01-14

1 漏洞简述

2022年01月14日，360CERT监测发现Apache官方 发布了Apache Dubbo hessian-lite的风险通告，漏洞编号为CVE-2021-43297，漏洞等级：高危，漏洞评分：7.5。

Dubbo是一款高性能、轻量级的开源Java RPC框架，它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。

对此，360CERT建议广大用户及时将Apache Dubbo升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

2 风险等级

360CERT对该漏洞的评定结果如下

3 漏洞详情

CVE-2021-43297: Apache Dubbo代码执行漏洞

CVE: CVE-2021-43297

组件: Apache Dubbo

漏洞类型: 反序列化

影响: 代码执行

简述: Apache Dubbo hessian-lite 3.2.11及之前版本存在一个反序列化漏洞。大多数Dubbo用户默认使用Hessian2序列化/反序列化协议，在Hessian捕捉到异常时，会注销用户的一些信息，这可能导致远程命令执行。

4 影响版本

5 修复建议

通用修补建议

根据影响版本中的信息，排查并升级到安全版本。下载链接：https://github.com/apache/dubbo/releases

6 时间线

2022-01-09 Apache官方发布通告

2022-01-14 360CERT发布通告

7 参考链接

https://lists.apache.org/thread/1mszxrvp90y01xob56yp002939c7hlww

推荐阅读

• 好几天没戴工牌坐地铁了，受不了！
  
• 裸辞之后自己在家接单是什么体验？
  
• Java为什么冷启动开销大？我们又该如何解决？

前沿技术早知道，弯道超车有希望 

积累超车资本，从关注DD开始

点击阅读原文，送你免费Spring Boot教程！