【漏洞通告】Apache Dubbo远程代码执行漏洞 (CVE-2021-36162)
发布时间 2021-08-310x00 漏洞概述
CVE ID | CVE-2021-36162 | 时 间 | 2021-08-30 |
类 型 | RCE | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | |
攻击复杂度 | 可用性 | ||
用户交互 | 所需权限 | ||
PoC/EXP | 已公开 | 在野利用 |
0x01 漏洞详情
Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。
2021年8月30日,Github SecurityLab公开披露了Apache Dubbo中的多个高危漏洞(CVE-2021-36162和CVE-2021-36163),攻击者可以利用这些漏洞远程执行任意代码。
Apache Dubbo YAML 反序列化漏洞(CVE-2021-36162)
Apache Dubbo中存在YAML 反序列化漏洞,可以访问配置中心的攻击者可以利用此漏洞远程执行任意代码。
Apache Dubbo远程代码执行漏洞(CVE-2021-36163)
Apache Dubbo使用了不安全的Hessian 协议(可选),导致不安全的反序列化,攻击者可以利用此漏洞远程执行任意代码。
此外,SecurityLab还公开了Apache Dubbo中的另一个RCE漏洞(GHSL-2021-096,拒绝修复),由于Apache Dubbo使用了不安全的 RMI 协议,导致不安全的反序列化,攻击者能够发送任意类型的参数并远程执行任意代码。
影响范围
Apache Dubbo v2.7.10
0x02 处置建议
目前CVE-2021-36162和CVE-2021-36163已经修复,建议及时应用安全补丁。但GHSL-2021-096问题拒绝修复,建议用户启用 JEP 290机制。
CVE-2021-36162补丁链接:
https://github.com/apache/dubbo/pull/8350
CVE-2021-36163补丁链接:
https://github.com/apache/dubbo/pull/8238
0x03 参考链接
https://securitylab.github.com/advisories/GHSL-2021-094-096-apache-dubbo/
https://dubbo.apache.org/en/downloads/
http://openjdk.java.net/jeps/290
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-36162
0x04 更新版本
版本 | 日期 | 修改内容 |
V1.0 | 2021-08-31 | 首次发布 |
0x05 文档附录
CNVD:www.cnvd.org.cn
CNNVD:www.cnnvd.org.cn
CVE:cve.mitre.org
NVD:nvd.nist.gov
CVSS:www.first.org
0x06 关于我们
关注以下公众号,获取更多资讯: