网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


Apache Dubbo 多个高危漏洞通告

2021-06-26 14:50 推荐: 浏览: 87 字号:

摘要: 报告编号:B6-2021-062402 报告来源:360CERT 报告作者:360CERT 更新日期:2021-06-24 1 漏洞简述 2021年06月24日,360CERT监测发现Github SecurityLab发布了Dubbo组件多个高危漏洞的风险通...

报告编号:B6-2021-062402

报告来源:360CERT

报告作者:360CERT

更新日期:2021-06-24

1 漏洞简述

2021年06月24日,360CERT监测发现Github SecurityLab发布了Dubbo组件多个高危漏洞的风险通告,漏洞编号为CVE-2021-25641等,漏洞等级:高危,漏洞评分:8.5

Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。

漏洞的相关技术细节已由Github SecurityLab公开。

对此,360CERT建议广大用户及时将Apache Dubbo升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

2 风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 高危
影响面 广泛
攻击者价值
利用难度
360CERT评分 8.5

3 漏洞详情

CVE-2021-25641: Dubbo 序列化漏洞

CVE: CVE-2021-25641

组件: Dubbo

漏洞类型: 序列化漏洞

影响: 代码执行,服务器接管

简述: Apache Dubbo 因支持Hessian2序列化框架,攻击者利用特制的数据包绕过Hessian2黑名单限制,实现任意代码执行。

CVE-2021-30179: Dubbo 验证绕过漏洞

CVE: CVE-2021-30179

组件: Dubbo

漏洞类型: 验证绕过漏洞

影响: 代码执行,服务器接管

简述: Apache Dubbo Generic filter存在过滤不严,攻击者可构造恶意请求调用恶意方法从而造成任意代码执行。

CVE-2021-32824: Dubbo 验证绕过漏洞

CVE: CVE-2021-32824

组件: Dubbo

漏洞类型: 验证绕过漏洞

影响: 代码执行,服务器接管

简述: Apache Dubbo Telnet handler在处理相关请求时,允许攻击者调用恶意方法从而造成远程代码执行。

CVE-2021-30180: Dubbo 序列化漏洞

CVE: CVE-2021-30180

组件: Dubbo

漏洞类型: 序列化漏洞

影响: 代码执行,服务器接管

简述: Apache Dubbo使用了yaml.load从外部加载数据内容及配置文件,攻击者在控制如ZooKeeper注册中心后可上传恶意配置文件,然后通过Dubbo调用RPC加载该配置文件从而造成了Yaml反序列化,实现任意代码执行。

CVE-2021-30181: Dubbo 代码执行漏洞

CVE: CVE-2021-30181

组件: Dubbo

漏洞类型: 代码执行

影响: 服务器接管

简述: Apache Dubbo 在和ZooKeeper进行协同通信的过程中存在漏洞,攻击者在控制如ZooKeeper注册中心后可构造恶意请求注入Nashorn脚本,造成任意代码执行。

4 影响版本

影响组件 影响版本 安全版本
Apache:Dubbo < 2.6.10, 2.6.10
Apache:Dubbo < 2.7.10 2.7.10
Apache:Dubbo 2.5.* 2.7.10

5 修复建议

通用修补建议

根据安全版本前往 Github下载更新 Release

apache/dubbo Github Release

https://github.com/apache/dubbo/releases/tag/

6 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现Dubbo,具体分布如下图所示。

Quake搜索表达式:app:"Apache_Dubbo"

Apache Dubbo 多个高危漏洞通告

7 时间线

2021-06-22 Github SecurityLab发布通告

2021-06-22 Github SecurityLab发布通告

2021-06-24 360CERT发布通告

8 参考链接

1、 GHSL-2021-034_043: Multiple pre-auth RCEs in Apache Dubbo

https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/

9 特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。

Apache Dubbo多个高危漏洞通告

http://certdl.qihucdn.com/cert-public-file/【360CERT】Apache_Dubbo多个高危漏洞通告/%!s(MISSING).pdf

稿源:360CERT

联系站长租广告位!

中国首席信息安全官