安全通告

關(guān)于Apache Dubbo Hession 反序列化漏洞安全風(fēng)險通告

發(fā)布日期：2022-10-27

?

漏洞描述

Apache Dubbo 是一款高性能、輕量級的開源服務(wù)框架，提供了 RPC 通信與微服務(wù)處理兩大關(guān)鍵能力。由于 Dubbo hessian-lite 3.2.12 及之前版本中存在反序列化漏洞，成功利用此漏洞可在目標(biāo)系統(tǒng)上執(zhí)行惡意代碼，攻擊者可利用該漏洞在未授權(quán)的情況下，構(gòu)造惡意數(shù)據(jù)執(zhí)行遠(yuǎn)程代碼執(zhí)行攻擊，最終獲取服務(wù)器最高權(quán)限。

漏洞編號

CVE-2022-39198

漏洞危害

Dubbo hessian-lite 3.2.12及之前版本存在反序列化漏洞，可能導(dǎo)致惡意代碼執(zhí)行。

漏洞等級

高危
受影響版本

Dubbo 2.7.0至2.7.17

Dubbo 3.0.0至3.0.11

Dubbo 3.1.0

修復(fù)方案

目前該漏洞已經(jīng)修復(fù)，受影響用戶可以升級到 Dubbo hessian-lite 版本 >=3.2.13，

或升級 Apache Dubbo 到以下版本：

Apache Dubbo 2.7.x 版本：>= 2.7.18

Apache Dubbo 3.0.x 版本：>= 3.0.12

Apache Dubbo 3.1.x 版本：>= 3.1.1

下載鏈接：https://github.com/apache/dubbo/tags

參考鏈接

https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk