- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
漏洞综述
漏洞背景
Apache Dubbo是一款阿里巴巴开源的高性能 RPC 分布式服务框架(SOA),具有RPC通信与微服务治理两大关键能力,其中Java、Golang 版本的Dubbo是当前稳定性、活跃度最好的版本,其他多语言客户端正在持续建设中。采用 Dubbo 的企业涵盖互联网、传统IT、金融、生产制造业多个领域,一些典型用户包括阿里巴巴、携程、工商银行、中国人寿、海尔、金蝶等。近日,新华三攻防实验室威胁预警团队监测到Apache Dubbo官方发布了安全更新公告,修复了Apache Dubbo中的一个远程命令执行漏洞(CVE-2021-43297),恶意攻击者可以利用该漏洞触发不安全的反序列化从而远程执行任意命令。
漏洞详情
该漏洞是由于Dubbo Hessian-Lite 3.2.11及之前版本中存在反序列化漏洞,大多数 Dubbo 用户使用 Hessian2 作为默认的序列化和反序列化协议,当 Hessian 捕获异常期间,Hessian 会为用户注销一些信息,从而可能导致远程命令执行。
影响范围
2.6.0 <= Apache Dubbo < 2.6.12
2.7.0 <= Apache Dubbo <2.7.15
3.0.0 <= Apache Dubbo < 3.0.5
处置方法
官方补丁
目前官方已发布漏洞修复补丁,请受影响的用户及时升级至安全版本以修复该漏洞,官方链接:https://github.com/apache/dubbo/releases
参考链接
https://lists.apache.org/thread/1mszxrvp90y01xob56yp002939c7hlww
产品与解决方案
