Apache Dubbo多个远程代码执行漏洞

2021-06-24

一、概要

近日，华为云关注到国外安全研究人员披露了Apache Dubbo多个高危漏洞细节，攻击者利用漏洞可实现远程代码执行，目前漏洞POC已公开，漏洞风险高。

CVE-2021-25641：Hessian2协议反序列化漏洞，攻击者可利用其他协议绕过Hessian2黑名单造成反序列化；

CVE-2021-30179：Generic filter远程代码执行漏洞，Apache Dubbo Generic filter存在过滤不严，攻击者可构造恶意请求调用恶意方法从而造成远程代码执行；

CVE-2021-32824：Telnet handler远程代码执行漏洞：Apache Dubbo Telnet handler在处理相关请求时，允许攻击者调用恶意方法从而造成远程代码执行；

CVE-2021-30180：YAML反序列化漏洞，Apache Dubbo多处使用了yaml.load，攻击者在控制如ZooKeeper注册中心后可上传恶意配置文件从而造成了Yaml反序列化漏洞；

CVE-2021-30181：Nashorn 脚本远程代码执行漏洞，攻击者在控制如ZooKeeper注册中心后可构造恶意请求注入Nashorn脚本，造成远程代码执行。

Apache Dubbo是一款应用广泛的高性能轻量级的Java RPC分布式服务框架。华为云提醒使用Apache Dubbo的用户及时安排自检并做好安全加固以降低安全风险。

参考链接：https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Apache Dubbo < 2.7.10

Apache Dubbo < 2.6.10

安全版本：

Apache Dubbo 2.7.10

Apache Dubbo 2.6.10

四、漏洞处置

目前官方已在新版本中修复了该漏洞，请受影响的用户及时升级至安全版本。

https://github.com/apache/dubbo/releases

注：修复漏洞前请将资料备份，并进行充分测试。