1. 通告信息
近日�,安識科技A-Team團隊監(jiān)測到Apache發(fā)布安全公告,修復(fù)了一個Apache Dubbo中的遠程代碼執(zhí)行漏洞�。漏洞威脅等級:嚴重。該漏洞是由于在Dubbo的hessian-lite中存在反序列化漏洞�,未經(jīng)身份驗證的攻擊者可利用該漏洞在目標系統(tǒng)上遠程執(zhí)行任意代碼。
對此����,安識科技建議廣大用戶及時升級到安全版本,并做好資產(chǎn)自查以及預(yù)防工作��,以免遭受黑客攻擊��。
2. 漏洞概述
CVE: CVE-2021-43297
簡述:Apache Dubbo是一款微服務(wù)開發(fā)框架�,它提供了RPC通信與微服務(wù)治理兩大關(guān)鍵能力。使應(yīng)用可通過高性能的 RPC 實現(xiàn)服務(wù)的輸出和輸入功能�,可以和 Spring 框架無縫集成。該漏洞是由于在Dubbo的hessian-lite中存在反序列化漏洞��,未經(jīng)身份驗證的攻擊者可利用該漏洞在目標系統(tǒng)上遠程執(zhí)行任意代碼����。大多數(shù)Dubbo用戶默認使用Hessian2作為序列化/反序列化協(xié)議,在Hessian 捕獲到異常時��,Hessian將會注銷一些用戶信息��,這可能會導(dǎo)致遠程命令執(zhí)行���。
3. 漏洞危害
攻擊者可利用該漏洞在未經(jīng)身份驗證的情況下����,構(gòu)造惡意數(shù)據(jù)進行遠程代碼執(zhí)行攻擊���,最終獲取服務(wù)器最高權(quán)限�。
4. 影響版本
目前受影響的Apache Dubbo版本:
Apache Dubbo 2.6.x < 2.6.12
Apache Dubbo 2.7.x < 2.7.15
Apache Dubbo 3.0.x < 3.0.5
5. 解決方案
1�����、緊急緩解措施:
(1) 關(guān)閉對公網(wǎng)開放的Dubbo服務(wù)端端口�����,僅允許可信任的IP訪問���。
(2) Dubbo協(xié)議默認使用Hessian進行序列化和反序列化�����。在不影響業(yè)務(wù)的情況下�,建議更換協(xié)議以及反序列化方式。
(3) 具體方法請參考官方文檔:http://dubbo.apache.org/zh-cn/docs/user/references/xml/dubbo-protocol.html
2����、正式防護方案:
(1)廠商已發(fā)布補丁修復(fù)漏洞,用戶請盡快更新至安全版本:3.0.5����、 2.7.15、2.6.12
6. 時間軸
【-】2022年1月13日 安識科技A-Team團隊監(jiān)測到Apache發(fā)布安全公告
【-】2022年1月13日 安識科技A-Team團隊根據(jù)漏洞信息分析
【-】2022年1月14日 安識科技A-Team團隊發(fā)布安全通告
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
