Apache Dubbo 6月多个高危漏洞-抖圈为赌而生

首页 > 宁静研究 > 宁静通报 > 宁静通告

Apache Dubbo 6月多个高危漏洞

宣布时间 2021-06-24

0x00 漏洞概述

Apache Dubbo是一款应用广泛的Java RPC漫衍式服务框架。

2021年06月22日，Github SecurityLab果然披露了Apache Dubbo中的多个高危漏洞，攻击者可以利用这些漏洞远程执行代码。

0x01 漏洞详情

研究人员果然披露的十个问题被分配如下CVE ID：CVE-2021-25641、 CVE-2021-30179、CVE-2021-32824、CVE-2021-30180和CVE-2021-30181，其详情如下：

Apache Dubbo Hessian2反序列化漏洞（CVE-2021-25641）

攻击者可以利用其它协议绕过 Hessian2 黑名单造成反序列化漏洞。

Apache Dubbo Generic filter远程代码执行漏洞（CVE-2021-30179）

由于Apache Dubbo Generic filter过滤不严，攻击者可结构恶意请求调用恶意要领从而造成任意代码执行。此漏洞涉及Generic filter Java 反序列化（GHSL-2021-037）和导致RCE的JNDI 查找调用(GHSL-2021-038)。

Apache Dubbo Telnet handler远程代码执行漏洞（CVE-2021-32824）

Telnet handler提供一些基本的要领来收集有关服务果然的提供者和要领的信息，甚至可以允许关闭服务。Apache Dubbo Telnet handler在处置相关请求时，攻击者可以通过调用恶意要领造成远程代码执行。

Apache Dubbo yaml反序列化漏洞（CVE-2021-30180）

Apache Dubbo使用了yaml.load从外部加载数据内容及配置文件，攻击者在控制配置中心（如Zookeeper、Nacos 等）后可上传恶意配置文件，从而造成Yaml反序列化漏洞。此漏洞涉及标签路由中毒(GHSL-2021-040)、条件路由中毒（GHSL-2021-041）和配置中毒（GHSL-2021-043）。

Apache Dubbo Nashorn 脚本远程代码执行漏洞（CVE-2021-30181）

攻击者在控制配置中心（如Zookeeper、Nacos 等）后可结构恶意请求注入Nashorn脚本（脚本路由中毒，GHSL-2021-042），造成任意代码执行。

影响范围

Apache Dubbo < 2.7.10

Apache Dubbo < 2.6.10

0x02 处置建议

目前这些漏洞已经修复，建议及时升级更新至以下或更高版本：

Apache Dubbo 2.7.10

Apache Dubbo 2.6.10

0x03 参考链接

https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25641

0x04 时间线

2021-06-22 漏洞披露

2021-06-24 VSRC宣布宁静通告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系

宁静研究