行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
Apache Dubbo远程代码执行漏洞
2022-01-21 14:28:38 【

1. 通告信息


近日,安识科技A-Team团队监测到Apache发布安全公告,修复了一个Apache Dubbo中的远程代码执行漏洞。漏洞威胁等级:严重。该漏洞是由于在Dubbo的hessian-lite中存在反序列化漏洞,未经身份验证的攻击者可利用该漏洞在目标系统上远程执行任意代码。


对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。




2. 漏洞概述



CVE: CVE-2021-43297


简述:Apache Dubbo是一款微服务开发框架,它提供了RPC通信与微服务治理两大关键能力。使应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring 框架无缝集成。该漏洞是由于在Dubbo的hessian-lite中存在反序列化漏洞,未经身份验证的攻击者可利用该漏洞在目标系统上远程执行任意代码。大多数Dubbo用户默认使用Hessian2作为序列化/反序列化协议,在Hessian 捕获到异常时,Hessian将会注销一些用户信息,这可能会导致远程命令执行。




3. 漏洞危害




攻击者可利用该漏洞在未经身份验证的情况下,构造恶意数据进行远程代码执行攻击,最终获取服务器最高权限。


4. 影响版本




目前受影响的Apache Dubbo版本:


Apache Dubbo 2.6.x < 2.6.12


Apache Dubbo 2.7.x < 2.7.15


Apache Dubbo 3.0.x < 3.0.5



5. 解决方案


1、紧急缓解措施:


(1) 关闭对公网开放的Dubbo服务端端口,仅允许可信任的IP访问。


(2) Dubbo协议默认使用Hessian进行序列化和反序列化。在不影响业务的情况下,建议更换协议以及反序列化方式。


(3) 具体方法请参考官方文档:http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html


2、正式防护方案:


(1)厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:3.0.5、 2.7.15、2.6.12


6. 时间轴


【-】2022年1月13日 安识科技A-Team团队监测到Apache发布安全公告


【-】2022年1月13日 安识科技A-Team团队根据漏洞信息分析


【-】2022年1月14日 安识科技A-Team团队发布安全通告


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇怎样才能对服务器进行防护,防御.. 下一篇Windows和Linux网络安全基线大全

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800