• 我的位置:
  • 首頁
  • -
  • 漏洞預(yù)警
  • -
  • 其他
  • -
    • Apache Dubbo Hessian-Lite 反序列化漏洞
    • CNNVD編號:未知
    • 危害等級: 高危 
    • CVE編號:CVE-2021-43297
    • 漏洞類型: 反序列化
    • 威脅類型:遠(yuǎn)程
    • 廠       商:未知
    • 漏洞來源:深信服
    • 發(fā)布時間:2022-01-12
    • 更新時間:2022-01-12

    漏洞簡介

    Apache Dubbo 是一款高性能、輕量級的開源 java Rpc 分布式服務(wù)框架。核心功能有面向接口的遠(yuǎn)程過程調(diào)用、集群容錯和負(fù)載均衡、服務(wù)自動注冊與發(fā)現(xiàn)。其特點主要在以下幾個方面。使用分層的架構(gòu)模式,使得各個層次之間實現(xiàn)最大限度的解耦。將服務(wù)抽象為服務(wù)提供者與服務(wù)消費者兩個角色。


    2022年1月11日,深信服安全團(tuán)隊監(jiān)測到一則 Apache Dubbo 組件存在反序列化漏洞的信息,漏洞編號:CVE-2021-43297,漏洞威脅等級:高危。

    該漏洞是由于 Apache Dubbo 在反序列化數(shù)據(jù)出現(xiàn)異常時 Hessian 會記錄用戶的信息,攻擊者可以構(gòu)造惡意數(shù)據(jù),最終導(dǎo)致遠(yuǎn)程代碼執(zhí)行,獲取服務(wù)器最高權(quán)限。

    漏洞公示

    暫無

    受影響實體

    Apache Dubbo 作為一款高性能、輕量級的開源 Java 服務(wù)框架,當(dāng)前可能受漏洞影響的資產(chǎn)廣泛分布于世界各地,國內(nèi)主要集中在廣東、江蘇、河北等省份地區(qū)。

    目前受影響的 Apache Dubbo 版本:

    Apache Dubbo 2.6.x  <  2.6.12

    Apache Dubbo 2.7.x  <  2.7.15

    Apache Dubbo 3.0.x  <  3.0.5

    補丁

    1、如何檢測組件版本

    方案一

    全盤搜索dubbo,如果存在dubbo-{version}.jar





    則用戶可能受漏洞影響。

     

    方案二

    如果項目是由maven編譯的(一般在項目根目錄下會有pom.xml)



    打開pom.xml文件,如圖:




    在此文件中搜索dubbo,如果可以搜索到關(guān)鍵字,并且<version>標(biāo)簽內(nèi)部的字段在:2.6.0版本及以上并且小于2.16.122.7.0版本及以上并且小于2.7.153.0.0版本及以上并且小于3.0.5,則可能受到漏洞的影響。(圖中的dubbo的版本是2.7.13,在漏洞影響范圍內(nèi))



    如以上檢索均未發(fā)現(xiàn)結(jié)果,不能夠完全下結(jié)論一定沒有使用 dubbo 組件 ,建議聯(lián)系開發(fā)人員進(jìn)一步核實。

    2、官方修復(fù)建議

    當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶及時更新升級到最新版本。鏈接如下:

    https://dubbo.apache.org/en/blog/2020/05/18/past-releases/