鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

Apache Dubbo 6月多个高危误差

宣布时间 2021-06-24

0x00 误差概述

Apache Dubbo是一款应用普遍的Java RPC漫衍式效劳框架。。。

2021年06月22日，，，，，，，Github SecurityLab果真披露了Apache Dubbo中的多个高危误差，，，，，，，攻击者可以使用这些误差远程执行代码。。。

0x01 误差详情

研究职员果真披露的十个问题被分派如下CVE ID：CVE-2021-25641、 CVE-2021-30179、CVE-2021-32824、CVE-2021-30180和CVE-2021-30181，，，，，，，其详情如下：

Apache Dubbo Hessian2反序列化误差（CVE-2021-25641）

攻击者可以使用其它协议绕过 Hessian2 黑名单造成反序列化误差。。。

Apache Dubbo Generic filter远程代码执行误差（CVE-2021-30179）

由于Apache Dubbo Generic filter过滤不严，，，，，，，攻击者可结构恶意请求挪用恶意要领从而造成恣意代码执行。。。此误差涉及Generic filter Java 反序列化（GHSL-2021-037）和导致RCE的JNDI 查找挪用(GHSL-2021-038)。。。

Apache Dubbo Telnet handler远程代码执行误差（CVE-2021-32824）

Telnet handler提供一些基本的要领来网络有关效劳果真的提供者和要领的信息，，，，，，，甚至可以允许关闭效劳。。。Apache Dubbo Telnet handler在处置惩罚相关请求时，，，，，，，攻击者可以通过挪用恶意要领造成远程代码执行。。。

Apache Dubbo yaml反序列化误差（CVE-2021-30180）

Apache Dubbo使用了yaml.load从外部加载数据内容及设置文件，，，，，，，攻击者在控制设置中心（如Zookeeper、Nacos 等）后可上传恶意设置文件，，，，，，，从而造成Yaml反序列化误差。。。此误差涉及标签路由中毒(GHSL-2021-040)、条件路由中毒（GHSL-2021-041）和设置中毒（GHSL-2021-043）。。。

Apache Dubbo Nashorn 剧本远程代码执行误差（CVE-2021-30181）

攻击者在控制设置中心（如Zookeeper、Nacos 等）后可结构恶意请求注入Nashorn剧本（剧本路由中毒，，，，，，，GHSL-2021-042），，，，，，，造成恣意代码执行。。。

影响规模

Apache Dubbo < 2.7.10

Apache Dubbo < 2.6.10

0x02 处置惩罚建议

现在这些误差已经修复，，，，，，，建议实时升级更新至以下或更高版本：

Apache Dubbo 2.7.10

Apache Dubbo 2.6.10

0x03 参考链接

https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25641

0x04 时间线

2021-06-22 误差披露

2021-06-24 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】