2021年6月24日，武漢云之巔應(yīng)急響應(yīng)中心監(jiān)測到國外安全研究人員披露Apache Dubbo多個(gè)高危漏洞詳情。

漏洞描述

Apache Dubbo是一款應(yīng)用廣泛的Java RPC分布式服務(wù)框架， 提供了六大核心能力：面向接口代理的高性能RPC調(diào)用，智能容錯(cuò)和負(fù)載均衡，服務(wù)自動(dòng)注冊(cè)和發(fā)現(xiàn)，高度可擴(kuò)展能力，運(yùn)行期流量調(diào)度，可視化的服務(wù)治理與運(yùn)維。2021年6月24日，國外安全研究人員披露Apache Dubbo多個(gè)高危漏洞詳情：

CVE-2021-25641 中，攻擊者可利用其他協(xié)議繞過Hessian2黑名單造成反序列化。

CVE-2021-30179 中，Apache Dubbo Generic filter存在過濾不嚴(yán)，攻擊者可構(gòu)造惡意請(qǐng)求調(diào)用惡意方法從而造成遠(yuǎn)程代碼執(zhí)行。

CVE-2021-32824 中，Apache Dubbo Telnet handler在處理相關(guān)請(qǐng)求時(shí)，允許攻擊者調(diào)用惡意方法從而造成遠(yuǎn)程代碼執(zhí)行。

CVE-2021-30180中，Apache Dubbo多處使用了yaml.load，攻擊者在控制如ZooKeeper注冊(cè)中心后可上傳惡意配置文件從而造成了Yaml反序列化漏洞。

CVE-2021-30181中，攻擊者在控制如ZooKeeper注冊(cè)中心后可構(gòu)造惡意請(qǐng)求注入Nashorn腳本，造成遠(yuǎn)程代碼執(zhí)行。

武漢云之巔應(yīng)急響應(yīng)中心提醒 Apache Dubbo 用戶盡快采取安全措施阻止漏洞攻擊。

漏洞細(xì)節(jié)：公開

漏洞POC：公開

漏洞EXP：公開

在野利用：未知

漏洞評(píng)級(jí)

CVE-2021-25641 Apache Dubbo Hessian2 協(xié)議反序列化漏洞 高危

CVE-2021-30179 Apache Dubbo Generic filter 遠(yuǎn)程代碼執(zhí)行漏洞 高危

CVE-2021-32824 Apache Dubbo Telnet handler 遠(yuǎn)程代碼執(zhí)行漏洞

CVE-2021-30180 Apache Dubbo YAML 反序列化漏洞 高危

CVE-2021-30181 Apache Dubbo Nashorn 腳本遠(yuǎn)程代碼執(zhí)行漏洞 高危

影響版本

Apache Dubbo >= 2.7.0 且 < 2.7.10

Apache Dubbo >= 2.5.0 且 < 2.6.10

Apache Dubbo 2.5.x 所有版本 (官方不再提供支持)。

安全版本

Apache Dubbo 2.7.10

Apache Dubbo 2.6.10

安全建議

1、升級(jí) Apache Dubbo 至最新版本

2、利用云廠商安全組功能設(shè)置 Apache Dubbo 相關(guān)端口僅對(duì)可信地址開放。

相關(guān)鏈接

https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/