安全通告

关于Apache Dubbo远程代码执行漏洞安全风险通告

发布日期：2022-1-14

漏洞描述

2022年1月14日，监测到一则Apache官方发布的CVE-2021-43297 Apache Dubbo hessian-lite漏洞的信息。

Apache Dubbo hessian-lite 3.2.11及之前版本存在一个反序列化漏洞。大多数Dubbo用户默认使用Hessian2序列化/反序列化协议，在Hessian捕捉到异常时，会注销用户的一些信息，这可能导致远程命令执行。

目前，Apache官方已发布可更新版本，建议客户尽快自查并修复。

漏洞编号

CVE-2021-43297

漏洞危害

该漏洞是由于 Apache Dubbo 在反序列化数据出现异常时Hessian 会记录用户的信息，攻击者可以构造恶意数据，最终导致远程代码执行，获取服务器最高权限。

漏洞等级

高危
受影响版本

Apache Dubbo 2.6x < 2.6.12

Apache Dubbo 2.7x < 2.7.15

Apache Dubbo 3.0x < 3.0.5

修复方案

1、紧急缓解措施：

（1） 关闭对公网开放的Dubbo服务端端口，仅允许可信任的IP访问。

（2） Dubbo协议默认使用Hessian进行序列化和反序列化。在不影响业务的情况下，建议更换协议以及反序列化方式。

2、正式防护方案：

（1）厂商已发布补丁修复漏洞，用户请尽快更新至安全版本：3.0.5、 2.7.15、2.6.12。

参考链接

• https://lists.apache.org/thread/1mszxrvp90y01xob56yp002939c7hlww