首頁 > 安全研究 > 安全通報 > 安全通告

Apache Dubbo 6月多個高危漏洞

發布時間 2021-06-24

0x00 漏洞概述

image.png

Apache Dubbo是一款應用廣泛的Java RPC分布式服務框架。

2021年06月22日,Github SecurityLab公開披露了Apache Dubbo中的多個高危漏洞,攻擊者可以利用這些漏洞遠程執行代碼。

 

0x01 漏洞詳情

研究人員公開披露的十個問題被分配如下CVE ID:CVE-2021-25641、 CVE-2021-30179、CVE-2021-32824、CVE-2021-30180和CVE-2021-30181,其詳情如下:

Apache Dubbo Hessian2反序列化漏洞(CVE-2021-25641)

攻擊者可以利用其它協議繞過 Hessian2 黑名單造成反序列化漏洞。

 

Apache Dubbo Generic filter遠程代碼執行漏洞(CVE-2021-30179)

由于Apache Dubbo Generic filter過濾不嚴,攻擊者可構造惡意請求調用惡意方法從而造成任意代碼執行。此漏洞涉及Generic filter Java 反序列化(GHSL-2021-037)和 導致RCE的JNDI 查找調用(GHSL-2021-038)。

 

Apache Dubbo Telnet handler遠程代碼執行漏洞(CVE-2021-32824)

Telnet handler提供一些基本的方法來收集有關服務公開的提供者和方法的信息,甚至可以允許關閉服務。Apache Dubbo Telnet handler在處理相關請求時,攻擊者可以通過調用惡意方法造成遠程代碼執行。

 

Apache Dubbo yaml反序列化漏洞(CVE-2021-30180)

Apache Dubbo使用了yaml.load從外部加載數據內容及配置文件,攻擊者在控制配置中心(如Zookeeper、Nacos 等)后可上傳惡意配置文件,從而造成Yaml反序列化漏洞。此漏洞涉及標簽路由中毒(GHSL-2021-040)、條件路由中毒(GHSL-2021-041)和配置中毒(GHSL-2021-043)。

 

Apache Dubbo Nashorn 腳本遠程代碼執行漏洞(CVE-2021-30181)

攻擊者在控制配置中心(如Zookeeper、Nacos 等)后可構造惡意請求注入Nashorn腳本(腳本路由中毒,GHSL-2021-042),造成任意代碼執行。

 

影響范圍

Apache Dubbo < 2.7.10

Apache Dubbo < 2.6.10

 

0x02 處置建議

目前這些漏洞已經修復,建議及時升級更新至以下或更高版本:

Apache Dubbo 2.7.10

Apache Dubbo 2.6.10

 

0x03 參考鏈接

https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25641

 

0x04 時間線

2021-06-22  漏洞披露

2021-06-24  VSRC發布安全通告

 

0x05 附錄

CVSS評分標準官網:http://www.first.org/cvss/

image.png

上一篇 下一篇