盗墓笔记小说下载,古风名字

【漏洞通告】Apache Dubbo多個(gè)高危漏洞安全風(fēng)險(xiǎn)通告（CVE-2021-25641等）

yh-security 2021-06-24 14:16:35 漏洞播報(bào) 0個(gè)評(píng)論

Apache Dubbo多個(gè)高危漏洞安全風(fēng)險(xiǎn)通告

發(fā)布日期：2021-6-24

漏洞描述

Apache Dubbo是一款應(yīng)用廣泛的Java RPC分布式服務(wù)框架。2021年6月24日，監(jiān)測(cè)到國(guó)外安全研究人員披露Apache Dubbo多個(gè)高危漏洞詳情：

CVE-2021-25641 中，攻擊者可利用其他協(xié)議繞過(guò)Hessian2黑名單造成反序列化；

CVE-2021-30179 中，Apache Dubbo Generic filter存在過(guò)濾不嚴(yán)，攻擊者可構(gòu)造惡意請(qǐng)求調(diào)用惡意方法從而造成遠(yuǎn)程代碼執(zhí)行；

CVE-2021-32824 中，Apache Dubbo Telnet handler在處理相關(guān)請(qǐng)求時(shí)，允許攻擊者調(diào)用惡意方法從而造成遠(yuǎn)程代碼執(zhí)行；

CVE-2021-30180中，Apache Dubbo多處使用了yaml.load，攻擊者在控制如ZooKeeper注冊(cè)中心后可上傳惡意配置文件從而造成了Yaml反序列化漏洞；

CVE-2021-30181中，攻擊者在控制如ZooKeeper注冊(cè)中心后可構(gòu)造惡意請(qǐng)求注入Nashorn腳本，造成遠(yuǎn)程代碼執(zhí)行。

在此，提醒 Apache Dubbo 用戶盡快采取安全措施阻止漏洞攻擊。

漏洞編號(hào)

CVE-2021-25641 Apache Dubbo Hessian2 協(xié)議反序列化漏洞

CVE-2021-30179 Apache Dubbo Generic filter 遠(yuǎn)程代碼執(zhí)行漏洞

CVE-2021-32824 Apache Dubbo Telnet handler 遠(yuǎn)程代碼執(zhí)行漏洞

CVE-2021-30180 Apache Dubbo YAML 反序列化漏洞

CVE-2021-30181 Apache Dubbo Nashorn 腳本遠(yuǎn)程代碼執(zhí)行漏洞

漏洞危害

CVE-2021-25641 中，攻擊者可利用其他協(xié)議繞過(guò)Hessian2黑名單造成反序列化；
CVE-2021-30179 中，Apache Dubbo Generic filter存在過(guò)濾不嚴(yán)，攻擊者可構(gòu)造惡意請(qǐng)求調(diào)用惡意方法從而造成遠(yuǎn)程代碼執(zhí)行；
CVE-2021-32824 中，Apache Dubbo Telnet handler在處理相關(guān)請(qǐng)求時(shí)，允許攻擊者調(diào)用惡意方法從而造成遠(yuǎn)程代碼執(zhí)行；
CVE-2021-30180中，Apache Dubbo多處使用了load，攻擊者在控制如ZooKeeper注冊(cè)中心后可上傳惡意配置文件從而造成了Yaml反序列化漏洞；
CVE-2021-30181中，攻擊者在控制如ZooKeeper注冊(cè)中心后可構(gòu)造惡意請(qǐng)求注入Nashorn腳本，造成遠(yuǎn)程代碼執(zhí)行。

漏洞等級(jí)

高危
受影響版本

Apache Dubbo < 2.7.10

Apache Dubbo < 2.6.10

安全版本

Apache Dubbo 2.7.10

Apache Dubbo 2.6.10

修復(fù)方案

1、升級(jí) Apache Dubbo 至最新版本。

2、設(shè)置Apache Dubbo 相關(guān)端口僅對(duì)可信地址開(kāi)放。

參考鏈接

1、https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/