Apache Dubbo多个远程代码执行漏洞预警

2021-09-01

一、概要

近日，华为云关注到国外安全研究人员披露了Apache Dubbo多个高危漏洞细节，攻击者利用漏洞可实现远程代码执行，目前漏洞利用细节已被公开，风险较高。

CVE-2021-36162：YAML 反序列化漏洞，Apache Dubbo多处使用了yaml.load，攻击者在控制如ZooKeeper注册中心后可上传恶意配置文件从而造成了Yaml反序列化漏洞；

CVE-2021-36163：Hessian协议反序列化漏洞，使用了不安全的Hessian 协议，攻击者利用漏洞触发反序列化，造成远程代码执行。

Apache Dubbo是一款应用广泛的高性能轻量级的Java RPC分布式服务框架。华为云提醒使用Apache Dubbo的用户及时安排自检并做好安全加固以降低安全风险。

参考链接：

https://securitylab.github.com/advisories/GHSL-2021-094-096-apache-dubbo/

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Apache Dubbo =< 2.7.10

安全版本：

Apache Dubbo 2.7.13

四、漏洞处置

目前Apache Dubbo官方已发布补丁，请受影响的用户及时升级至安全版本。

CVE-2021-36162：

https://github.com/apache/dubbo/pull/8350

CVE-2021-36163：

https://github.com/apache/dubbo/pull/8238

注：修复漏洞前请将资料备份，并进行充分测试。