Apache Dubbo多個(gè)安全漏洞 - 山西鑫鼎宸科技股份有限公司

我的位置：

Apache Dubbo多個(gè)安全漏洞

CNNVD編號(hào)：未知
危害等級(jí)：高危
CVE編號(hào)：CVE-2021-30180/CVE-2021-32824
漏洞類(lèi)型：反序列化漏洞/遠(yuǎn)程代碼執(zhí)行漏洞
威脅類(lèi)型：遠(yuǎn)程
廠商：未知
漏洞來(lái)源：深信服
發(fā)布時(shí)間：2021-06-25
更新時(shí)間：2021-06-25

漏洞簡(jiǎn)介

1、組件介紹

Apache Dubbo是一款高性能、輕量級(jí)的開(kāi)源java RPC分布式服務(wù)框架。核心功能有面向接口的遠(yuǎn)程過(guò)程調(diào)用、集群容錯(cuò)和負(fù)載均衡、服務(wù)自動(dòng)注冊(cè)與發(fā)現(xiàn)。其特點(diǎn)主要在以下幾個(gè)方面：使用分層的架構(gòu)模式，使得各個(gè)層次之間實(shí)現(xiàn)最大限度的解耦；將服務(wù)抽象為服務(wù)提供者與服務(wù)消費(fèi)者兩個(gè)角色。

2、漏洞描述

近日，深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一則Apache Dubbo組件存在遠(yuǎn)程代碼執(zhí)行漏洞的信息，共修復(fù)了五個(gè)安全漏洞，其中包含五個(gè)高危漏洞的信息。(其中三個(gè)漏洞千里目已經(jīng)披露，詳情見(jiàn)參考鏈接)

序號(hào)	漏洞名	漏洞編號(hào)	影響版本	嚴(yán)重等級(jí)
1	Apache Dubbo YAML 反序列化漏洞	CVE-2021-30180	Apache Dubbo 2.7.0 - 2.7.9 Apache Dubbo 2.6.0 - 2.6.9 Apache Dubbo 2.5.x（官方不再維護(hù)）	高危
2	Apache Dubbo Telnet handler 遠(yuǎn)程代碼執(zhí)行漏洞	CVE-2021-32824		高危

（1）Apache Dubbo YAML 反序列化漏洞

CVE-2021-30180

該漏洞是由于Apache Dubbo多處使用了yaml.load，攻擊者在控制如ZooKeeper注冊(cè)中心后可上傳惡意配置文件造成的。攻擊者可利用該漏洞在未授權(quán)的情況下，構(gòu)造惡意數(shù)據(jù)執(zhí)行遠(yuǎn)程代碼攻擊，最終接管服務(wù)器。

（2）Apache Dubbo Telnet handler 遠(yuǎn)程代碼執(zhí)行漏洞

CVE-2021-32824

該漏洞是由于Apache Dubbo Telnet handler在處理相關(guān)請(qǐng)求時(shí)，允許攻擊者調(diào)用惡意方法造成的。攻擊者可利用該漏洞在未授權(quán)的情況下，構(gòu)造惡意數(shù)據(jù)執(zhí)行遠(yuǎn)程代碼攻擊，最終接管服務(wù)器。