首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】Apache Dubbo遠程代碼執行漏洞 (CVE-2021-36162)

發布時間 2021-08-31


0x00 漏洞概述

CVE     ID

CVE-2021-36162

時      間

2021-08-30

類      型

RCE

等      級

高危

遠程利用

影響范圍


攻擊復雜度


可用性


用戶交互


所需權限


PoC/EXP

已公開

在野利用


 

0x01 漏洞詳情

image.png

 

Apache Dubbo是一款應用廣泛的Java RPC分布式服務框架。

2021年8月30日,Github SecurityLab公開披露了Apache Dubbo中的多個高危漏洞(CVE-2021-36162和CVE-2021-36163),攻擊者可以利用這些漏洞遠程執行任意代碼。

Apache Dubbo YAML 反序列化漏洞(CVE-2021-36162)

Apache Dubbo中存在YAML 反序列化漏洞,可以訪問配置中心的攻擊者可以利用此漏洞遠程執行任意代碼。

 

Apache Dubbo遠程代碼執行漏洞(CVE-2021-36163)

Apache Dubbo使用了不安全的Hessian 協議(可選),導致不安全的反序列化,攻擊者可以利用此漏洞遠程執行任意代碼。

此外,SecurityLab還公開了Apache Dubbo中的另一個RCE漏洞(GHSL-2021-096,拒絕修復),由于Apache Dubbo使用了不安全的 RMI 協議,導致不安全的反序列化,攻擊者能夠發送任意類型的參數并遠程執行任意代碼。

 

影響范圍

Apache Dubbo v2.7.10

 

0x02 處置建議

目前CVE-2021-36162和CVE-2021-36163已經修復,建議及時應用安全補丁。但GHSL-2021-096問題拒絕修復,建議用戶啟用 JEP 290機制。

CVE-2021-36162補丁鏈接:

https://github.com/apache/dubbo/pull/8350

 

CVE-2021-36163補丁鏈接:

https://github.com/apache/dubbo/pull/8238

 

0x03 參考鏈接

https://securitylab.github.com/advisories/GHSL-2021-094-096-apache-dubbo/

https://dubbo.apache.org/en/downloads/

http://openjdk.java.net/jeps/290

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-36162

 

0x04 更新版本

版本

日期

修改內容

V1.0

2021-08-31

首次發布

 

0x05 文檔附錄

CNVD:www.cnvd.org.cn

CNNVD:www.cnnvd.org.cn

CVE:cve.mitre.org

NVD:nvd.nist.gov

CVSS:www.first.org

 

0x06 關于我們

關注以下公眾號,獲取更多資訊:

image.png

上一篇 下一篇