查看原文
其他

Apache Dubbo 高危漏洞通告

程序猿DD 2022-03-17

前沿技术早知道,弯道超车有希望 

积累超车资本,从关注DD开始

作者:360CERT, 图文编辑:xj

来源:https://www.oschina.net/news/178522


报告编号:B6-2022-011403

报告来源:360CERT

报告作者:360CERT

更新日期:2022-01-14

1 漏洞简述

2022年01月14日,360CERT监测发现Apache官方 发布了Apache Dubbo hessian-lite的风险通告,漏洞编号为CVE-2021-43297,漏洞等级:高危,漏洞评分:7.5

Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。

对此,360CERT建议广大用户及时将Apache Dubbo升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

2 风险等级

360CERT对该漏洞的评定结果如下

3 漏洞详情

CVE-2021-43297: Apache Dubbo代码执行漏洞

CVE: CVE-2021-43297

组件: Apache Dubbo

漏洞类型: 反序列化

影响: 代码执行

简述: Apache Dubbo hessian-lite 3.2.11及之前版本存在一个反序列化漏洞。大多数Dubbo用户默认使用Hessian2序列化/反序列化协议,在Hessian捕捉到异常时,会注销用户的一些信息,这可能导致远程命令执行。

4 影响版本

5 修复建议

通用修补建议

根据影响版本中的信息,排查并升级到安全版本。下载链接:https://github.com/apache/dubbo/releases

6 时间线

2022-01-09 Apache官方发布通告

2022-01-14 360CERT发布通告

7 参考链接

https://lists.apache.org/thread/1mszxrvp90y01xob56yp002939c7hlww


对了,我们创建了一个高质量的技术交流群,与优秀的人在一起,自己也会优秀起来,赶紧点击加群,享受一起成长的快乐



推荐阅读


前沿技术早知道,弯道超车有希望 

积累超车资本,从关注DD开始

点击阅读原文,送你免费Spring Boot教程!

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存