【漏洞通告】Apache Dubbo多个高危漏洞(CVE-2021-25641等)
2021年6月24日,阿里云应急响应中心监测到国外安全研究人员披露Apache Dubbo多个高危漏洞详情。
01
漏洞描述
Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。2021年6月24日,国外安全研究人员披露Apache Dubbo多个高危漏洞详情:
CVE-2021-25641 中,攻击者可利用其他协议绕过Hessian2黑名单造成反序列化。
CVE-2021-30179 中,Apache Dubbo Generic filter存在过滤不严,攻击者可构造恶意请求调用恶意方法从而造成远程代码执行。
CVE-2021-32824 中,Apache Dubbo Telnet handler在处理相关请求时,允许攻击者调用恶意方法从而造成远程代码执行。
CVE-2021-30180中,Apache Dubbo多处使用了yaml.load,攻击者在控制如ZooKeeper注册中心后可上传恶意配置文件从而造成了Yaml反序列化漏洞。
CVE-2021-30181中,攻击者在控制如ZooKeeper注册中心后可构造恶意请求注入Nashorn脚本,造成远程代码执行。
阿里云应急响应中心提醒 Apache Dubbo 用户尽快采取安全措施阻止漏洞攻击。
02
漏洞评级
CVE-2021-25641 Apache Dubbo Hessian2 协议反序列化漏洞 高危
CVE-2021-30179 Apache Dubbo Generic filter 远程代码执行漏洞 高危
CVE-2021-32824 Apache Dubbo Telnet handler 远程代码执行漏洞
CVE-2021-30180 Apache Dubbo YAML 反序列化漏洞 高危
CVE-2021-30181 Apache Dubbo Nashorn 脚本远程代码执行漏洞 高危
漏洞细节 | 漏洞PoC | 漏洞EXP | 在野利用 |
---|---|---|---|
公开 | 公开 | 公开 | 未知 |
04
03
03
影响版本
Apache Dubbo < 2.7.10
Apache Dubbo < 2.6.10
05
安全版本
Apache Dubbo 2.7.10
Apache Dubbo 2.6.10
06
安全建议
1、升级 Apache Dubbo 至最新版本。
2、利用阿里云安全组功能设置Apache Dubbo 相关端口仅对可信地址开放。
07
相关链接
https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/
转载自https://mp.weixin.qq.com/s/vUdsgOSymEzWeAXkfK3Abw
相关文章
- linux 下 apache启动、停止、重启命令
- Apache文件解析漏洞详解
- Apache支持.htaccess
- why I need register Apache CXF as servlet
- [转]有关Apache alias的一点问题
- GcExcel与 Apache POI 在功能和性能上的对比测试
- java: 找不到符号 符号: 方法 copyToFile(java.io.InputStream,java.io.File) 位置: 类 org.apache.commons.io.Fi
- 05 - vulhub - Apache HTTPD 换行解析漏洞(CVE-2017-15715)
- Apache Log4j2远程代码执行漏洞攻击,华为云安全支持检测拦截
- nested exception is org.apache.ibatis.reflection.ReflectionException: There is no getter for propert
- Apache HTTPD 多后缀解析漏洞
- Shell脚本一键安装-----Apache服务