【漏洞通告】Apache Dubbo多个高危漏洞(CVE-2021-36162、CVE-2021-36163)
2021-9-1 13:50:34 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

2021年9月1日,阿里云应急响应中心监测到国外安全研究人员披露Apache Dubbo多个高危漏洞详情。

01

漏洞描述

Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。2021年8月31日,国外安全研究人员披露Apache Dubbo多个高危漏洞详情: 

CVE-2021-36162 中,Apache Dubbo多处使用了yaml.load,攻击者在控制如ZooKeeper注册中心后可上传恶意配置文件从而造成了Yaml反序列化漏洞。 

CVE-2021-36163 中,Apache Dubbo中使用了不安全的Hessian 协议,攻击者可以利用此漏洞触发反序列化,造成远程代码执行漏洞。 

阿里云应急响应中心提醒 Apache Dubbo 用户尽快采取安全措施阻止漏洞攻击。

02

漏洞评级

CVE-2021-36162 Apache Dubbo Yaml 反序列化漏洞 高危

CVE-2021-36163 Apache Dubbo Hessian2 协议反序列化漏洞 高危

漏洞细节漏洞PoC漏洞EXP在野利用
公开
公开
未公开
未知

03
03
03

影响版本

2.7.0 <= Dubbo <= 2.7.12 

3.0.0 <= Dubbo <= 3.0.1

04
03
03

安全版本

Apache Dubbo 2.7.13 

Apache Dubbo 3.0.2

05

安全建议

1、升级 Apache Dubbo 至最新版本 

2、利用阿里云安全组功能设置 Apache Dubbo 相关端口仅对可信地址开放。

06

相关链接

https://help.aliyun.com/noticelist/articleid/1060900378.html

https://securitylab.github.com/advisories/GHSL-2021-094-096-apache-dubbo


文章来源: https://mp.weixin.qq.com/s?__biz=MzI5MzY2MzM0Mw==&mid=2247486144&idx=2&sn=1bb828bc2207686742e51620169a6b63&chksm=ec6fedc0db1864d6b1d16ea42f1d523c34d3df654b63b91ada65d221023a8b6bc46c12de56f2&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh