Apache Dubbo Hession反序列化漏洞预警 （CVE-2022-39198）

2022-10-21

一、概要

近日，华为云关注到Apache官方发布安全公告，披露在Apache Dubbo hessian-lite 3.2.12及之前版本存在反序列化漏洞（CVE-2022-39198），未经授权的攻击者可通过构造恶意请求在目标系统上执行任意代码。

Apache Dubbo是一款微服务开发框架。华为云提醒使用Apache Dubbo的用户及时安排自检并做好安全加固。

参考链接：

https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急） 

三、漏洞影响范围

影响版本：

Apache Dubbo 2.7.x版本：<= 2.7.17

Apache Dubbo 3.0.x版本：<= 3.0.11

Apache Dubbo 3.1.x版本：<= 3.1.0

安全版本：

Apache Dubbo 2.7.x版本：>= 2.7.18

Apache Dubbo 3.0.x版本：>= 3.0.12

Apache Dubbo 3.1.x版本：>= 3.1.1

四、漏洞处置

目前官方已在高版本中修复了该漏洞，请受影响的用户升级至安全版本：

https://github.com/apache/dubbo/tags

注：修复漏洞前请将资料备份，并进行充分测试。