安全通告
关于Apache Dubbo远程代码执行漏洞安全风险通告
发布日期:2022-1-14
漏洞描述
2022年1月14日,监测到一则Apache官方发布的CVE-2021-43297 Apache Dubbo hessian-lite漏洞的信息。
Apache Dubbo hessian-lite 3.2.11及之前版本存在一个反序列化漏洞。大多数Dubbo用户默认使用Hessian2序列化/反序列化协议,在Hessian捕捉到异常时,会注销用户的一些信息,这可能导致远程命令执行。
目前,Apache官方已发布可更新版本,建议客户尽快自查并修复。
漏洞编号
CVE-2021-43297
漏洞危害
该漏洞是由于 Apache Dubbo 在反序列化数据出现异常时Hessian 会记录用户的信息,攻击者可以构造恶意数据,最终导致远程代码执行,获取服务器最高权限。
漏洞等级
高危
受影响版本
Apache Dubbo 2.6x < 2.6.12
Apache Dubbo 2.7x < 2.7.15
Apache Dubbo 3.0x < 3.0.5
修复方案
1、紧急缓解措施:
(1) 关闭对公网开放的Dubbo服务端端口,仅允许可信任的IP访问。
(2) Dubbo协议默认使用Hessian进行序列化和反序列化。在不影响业务的情况下,建议更换协议以及反序列化方式。
2、正式防护方案:
(1)厂商已发布补丁修复漏洞,用户请尽快更新至安全版本:3.0.5、 2.7.15、2.6.12。
参考链接
- https://lists.apache.org/thread/1mszxrvp90y01xob56yp002939c7hlww