8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全公告

Apache Dubbo 6月多个高危缝隙

颁布功夫 2021-06-24

0x00 缝隙概述

Apache Dubbo是一款利用宽泛的Java RPC散布式服务框架。。。。。。。

2021年06月22日，，，，，，，Github SecurityLab公开披露了Apache Dubbo中的多个高危缝隙，，，，，，，攻击者能够利用这些缝隙远程执行代码。。。。。。。

0x01 缝隙详情

钻研人员公开披露的十个问题被分配如下CVE ID：CVE-2021-25641、 CVE-2021-30179、CVE-2021-32824、CVE-2021-30180和CVE-2021-30181，，，，，，，其详情如下：

Apache Dubbo Hessian2反序列化缝隙（CVE-2021-25641）

攻击者能够利用其它和谈绕过 Hessian2 黑名单造成反序列化缝隙。。。。。。。

Apache Dubbo Generic filter远程代码执行缝隙（CVE-2021-30179）

由于Apache Dubbo Generic filter过滤不严，，，，，，，攻击者可机关恶意要求挪用恶意步骤从而造成肆意代码执行。。。。。。。此缝隙涉及Generic filter Java 反序列化（GHSL-2021-037）和导致RCE的JNDI 查找挪用(GHSL-2021-038)。。。。。。。

Apache Dubbo Telnet handler远程代码执行缝隙（CVE-2021-32824）

Telnet handler提供一些根基的步骤来网络有关服务公开的提供者和步骤的信息，，，，，，，甚至能够允许关关服务。。。。。。。Apache Dubbo Telnet handler在处置有关要求时，，，，，，，攻击者能够通过挪用恶意步骤造成远程代码执行。。。。。。。

Apache Dubbo yaml反序列化缝隙（CVE-2021-30180）

Apache Dubbo使用了yaml.load从表部加载数据内容及配置文件，，，，，，，攻击者在节造配置中心（如Zookeeper、Nacos 等）后可上传恶意配置文件，，，，，，，从而造成Yaml反序列化缝隙。。。。。。。此缝隙涉及标签路由中毒(GHSL-2021-040)、前提路由中毒（GHSL-2021-041）和配置中毒（GHSL-2021-043）。。。。。。。

Apache Dubbo Nashorn 剧本远程代码执行缝隙（CVE-2021-30181）

攻击者在节造配置中心（如Zookeeper、Nacos 等）后可机关恶意要求注入Nashorn剧本（剧本路由中毒，，，，，，，GHSL-2021-042），，，，，，，造成肆意代码执行。。。。。。。

影响领域

Apache Dubbo < 2.7.10

Apache Dubbo < 2.6.10

0x02 措置建议

目前这些缝隙已经建复，，，，，，，建议实时升级更新至以下或更高版本：

Apache Dubbo 2.7.10

Apache Dubbo 2.6.10

0x03 参考链接

https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25641

0x04 功夫线

2021-06-22 缝隙披露

2021-06-24 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】