一、Apache Dubbo CVE-2021-36162高危漏洞详情
????????近日,国外安全研究人员披露Apache Dubbo多个高危漏洞详情,其中包括Apache Dubbo YAML反序列化漏洞(CVE-2021-36162),Apache Dubbo Hessian协议反序列化漏洞(CVE-2021-36163)。
????????漏洞等级:高危。?
????????漏洞概述: Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。 CVE-2021-36162 中,Apache Dubbo多处使用了yaml.load,攻击者在控制如ZooKeeper注册中心后可上传恶意配置文件从而造成了Yaml反序列化漏洞。 CVE-2021-36163 中,Apache Dubbo中使用了不安全的Hessian 协议,攻击者可以利用此漏洞触发反序列化,造成远程代码执行漏洞。 目前,Apache Dubbo多个高危漏洞详情已公开,漏洞现实威胁提升。同时官方已发布修复版本,建议各个研发中心尽快修复漏洞并自查服务器的安全状况。 对于使用公司框架引入的Dubbo或者进行过二次开发的Dubbo,还请自行评估安全风险并进行整改。
风险等级:?
?? ?【漏洞等级】 高危
二、受影响版本
????????【受影响版本】
????????2.7.0 <= Dubbo <= 2.7.12?
????????3.0.0 <= Dubbo <= 3.0.1
三、修复建议
?????建议尽快升级至 Apache Dubbo安全版本:
????????Apache Dubbo 2.7.13?
????????Apache Dubbo 3.0.2
|