重生之毒妃梅果小说,懒人听书

【漏洞通告】關(guān)于Apache Dubbo遠(yuǎn)程代碼執(zhí)行漏洞安全風(fēng)險(xiǎn)通告（CVE-2021-43297)

安全通告

關(guān)于Apache Dubbo遠(yuǎn)程代碼執(zhí)行漏洞安全風(fēng)險(xiǎn)通告

發(fā)布日期：2022-1-14

漏洞描述

2022年1月14日，監(jiān)測(cè)到一則Apache官方發(fā)布的CVE-2021-43297 Apache Dubbo hessian-lite漏洞的信息。

Apache Dubbo hessian-lite 3.2.11及之前版本存在一個(gè)反序列化漏洞。大多數(shù)Dubbo用戶默認(rèn)使用Hessian2序列化/反序列化協(xié)議，在Hessian捕捉到異常時(shí)，會(huì)注銷用戶的一些信息，這可能導(dǎo)致遠(yuǎn)程命令執(zhí)行。

目前，Apache官方已發(fā)布可更新版本，建議客戶盡快自查并修復(fù)。

漏洞編號(hào)

CVE-2021-43297

漏洞危害

該漏洞是由于 Apache Dubbo 在反序列化數(shù)據(jù)出現(xiàn)異常時(shí)Hessian 會(huì)記錄用戶的信息，攻擊者可以構(gòu)造惡意數(shù)據(jù)，最終導(dǎo)致遠(yuǎn)程代碼執(zhí)行，獲取服務(wù)器最高權(quán)限。

漏洞等級(jí)

高危
受影響版本

Apache Dubbo 2.6x < 2.6.12

Apache Dubbo 2.7x < 2.7.15

Apache Dubbo 3.0x < 3.0.5

修復(fù)方案

1、緊急緩解措施：

（1）關(guān)閉對(duì)公網(wǎng)開放的Dubbo服務(wù)端端口，僅允許可信任的IP訪問。

（2） Dubbo協(xié)議默認(rèn)使用Hessian進(jìn)行序列化和反序列化。在不影響業(yè)務(wù)的情況下，建議更換協(xié)議以及反序列化方式。

2、正式防護(hù)方案：

（1）廠商已發(fā)布補(bǔ)丁修復(fù)漏洞，用戶請(qǐng)盡快更新至安全版本：3.0.5、 2.7.15、2.6.12。

參考鏈接

https://lists.apache.org/thread/1mszxrvp90y01xob56yp002939c7hlww

漏洞播報(bào)

【漏洞通告】關(guān)于Apache Dubbo遠(yuǎn)程代碼執(zhí)行漏洞安全風(fēng)險(xiǎn)通告（CVE-2021-43297)

聯(lián)系我們：cert@chaosec.com