Apache Dubbo 6月多个高危漏洞
发布时间 2021-06-240x00 漏洞概述
Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。
2021年06月22日,Github SecurityLab公开披露了Apache Dubbo中的多个高危漏洞,攻击者可以利用这些漏洞远程执行代码。
0x01 漏洞详情
研究人员公开披露的十个问题被分配如下CVE ID:CVE-2021-25641、 CVE-2021-30179、CVE-2021-32824、CVE-2021-30180和CVE-2021-30181,其详情如下:
Apache Dubbo Hessian2反序列化漏洞(CVE-2021-25641)
攻击者可以利用其它协议绕过 Hessian2 黑名单造成反序列化漏洞。
Apache Dubbo Generic filter远程代码执行漏洞(CVE-2021-30179)
由于Apache Dubbo Generic filter过滤不严,攻击者可构造恶意请求调用恶意方法从而造成任意代码执行。此漏洞涉及Generic filter Java 反序列化(GHSL-2021-037)和 导致RCE的JNDI 查找调用(GHSL-2021-038)。
Apache Dubbo Telnet handler远程代码执行漏洞(CVE-2021-32824)
Telnet handler提供一些基本的方法来收集有关服务公开的提供者和方法的信息,甚至可以允许关闭服务。Apache Dubbo Telnet handler在处理相关请求时,攻击者可以通过调用恶意方法造成远程代码执行。
Apache Dubbo yaml反序列化漏洞(CVE-2021-30180)
Apache Dubbo使用了yaml.load从外部加载数据内容及配置文件,攻击者在控制配置中心(如Zookeeper、Nacos 等)后可上传恶意配置文件,从而造成Yaml反序列化漏洞。此漏洞涉及标签路由中毒(GHSL-2021-040)、条件路由中毒(GHSL-2021-041)和配置中毒(GHSL-2021-043)。
Apache Dubbo Nashorn 脚本远程代码执行漏洞(CVE-2021-30181)
攻击者在控制配置中心(如Zookeeper、Nacos 等)后可构造恶意请求注入Nashorn脚本(脚本路由中毒,GHSL-2021-042),造成任意代码执行。
影响范围
Apache Dubbo < 2.7.10
Apache Dubbo < 2.6.10
0x02 处置建议
目前这些漏洞已经修复,建议及时升级更新至以下或更高版本:
Apache Dubbo 2.7.10
Apache Dubbo 2.6.10
0x03 参考链接
https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25641
0x04 时间线
2021-06-22 漏洞披露
2021-06-24 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/
京公网安备11010802024551号