Apache Dubbo有漏洞編號的漏洞
(1)Apache Dubbo 反序列化漏洞(CVE-2022-39198)(2)Apache Dubbo存在遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2021-32824)(3)CVE-2021-36162(源于CVE-2021-30180)Yaml 反序列化(4)CVE-2021-36163
【資料圖】
漏洞描述:
由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,攻擊者成功利用此漏洞可在目標(biāo)系統(tǒng)上執(zhí)行惡意程序代碼,甚至接管服務(wù)所在服務(wù)器。
漏洞影響版本:
Apache Dubbo hessian-lite <=3.2.12
Apache Dubbo 2.7.x <=2.7.17
Apache Dubbo 3.0.x <=3.0.11
Apache Dubbo 3.1.x <=3.1.0
漏洞在野情況:
exp暫未公開。
漏洞修復(fù)方式:
Apache已發(fā)布修復(fù)了此漏洞的更新版本,可通過下載官方的版本更新修復(fù)漏洞,下載地址如下:https://github.com/apache/dubbo/tags
注:此通報(bào)無漏洞編號
1.2、關(guān)于Apache Dubbo Hession反序列化漏洞的通報(bào)1.產(chǎn)品描述:Apache Dubbo hessian-lite是一款微服務(wù)開發(fā)框架
2.影響產(chǎn)品或組件及版本:Apache Dubbo 2.7.x版本:<= 2.7.17,Apache Dubbo 3.0.x版本:<= 3.0.11,Apache Dubbo 3.1.x版本:<= 3.1.0
3.技術(shù)細(xì)節(jié)表述: 在Apache Dubbo hessian-lite 3.2.12及之前版本存在反序列化漏洞,未經(jīng)授權(quán)的攻擊者可通過構(gòu)造惡意請求在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。
4.修補(bǔ)措施:目前官方已在高版本中修復(fù)了該漏洞,受影響用戶可以升級到Dubbo hessian-lite 版本 >=3.2.13。
5.漏洞來源:https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk
1.3、Apache Dubbo存在遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2021-32824)發(fā)布時間:來源: zhangyusen@zqfae.com
1.產(chǎn)品描述:Apache Dubbo是美國阿帕奇(Apache)基金會的一款基于Java的輕量級RPC(遠(yuǎn)程過程調(diào)用)框架。該產(chǎn)品提供了基于接口的遠(yuǎn)程呼叫、容錯和負(fù)載平衡以及自動服務(wù)注冊和發(fā)現(xiàn)等功能。
2.影響產(chǎn)品或組件及版本(必填):2.6.10 和 2.7.10之前的版本均受影響
3.受影響資產(chǎn)情況:通過資產(chǎn)測繪系統(tǒng)fofa發(fā)現(xiàn),全球共14,291個使用記錄,其中第一名中國10435個,第二名美國1723個、第三名新加坡114個。
4.技術(shù)細(xì)節(jié)表述:2.6.10和2.7.10之前的版本容易通過Telnet處理程序中的任意bean操作執(zhí)行預(yù)授權(quán)遠(yuǎn)程代碼。Dubbo主服務(wù)端口可用于訪問Telnet處理程序,它提供一些基本方法來收集服務(wù)公開的提供者和方法的信息,甚至可以允許關(guān)閉服務(wù)。此端點(diǎn)不受保護(hù)。此外,可以使用“invoke”處理程序調(diào)用提供程序方法。此處理程序使用FastJson的安全版本來處理調(diào)用參數(shù)。然而,生成的列表稍后將使用“PojoUtils.realize”進(jìn)行處理,該列表可用于實(shí)例化任意類并調(diào)用其setter。盡管FastJson通過默認(rèn)阻止列表得到了適當(dāng)?shù)谋Wo(hù),但“PojoUtils.realize”沒有,攻擊者可以利用它實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。
5.修補(bǔ)措施:官方已發(fā)布新版本,鏈接為:https://github.com/apache/dubbo
6.漏洞來源:https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/
1.4、Apache Dubbo 遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警1. 概述
2022年10月19日,中測安華必達(dá)實(shí)驗(yàn)室發(fā)現(xiàn)Apache披露了名為“Apache Dubbo 遠(yuǎn)程代碼執(zhí)行漏洞”的高風(fēng)險漏洞,攻擊者可利用該漏洞通過構(gòu)造特定請求在目標(biāo)服務(wù)器上執(zhí)行惡意代碼。中測安華必達(dá)實(shí)驗(yàn)室從該漏洞的基本信息、漏洞影響、修復(fù)情況等多方面信息初步研判,該漏洞危害風(fēng)險較高影響較大,提醒用戶及時采取消控措施。
2. 漏洞分析
2.1 漏洞信息概要
漏洞名稱
Apache Dubbo 遠(yuǎn)程代碼執(zhí)行漏洞
漏洞編號
CNNVD編號:暫無
CNVD編號:暫無
CVE編號:CVE-2022-39198
漏洞類型:代碼執(zhí)行
危害等級:高危
CVSS 3.0:8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)
相關(guān)廠商:Apache
受影響產(chǎn)品:Apache Dubbo
廠商修復(fù)情況
廠商已修復(fù)
注:漏洞類型與危害等級參考[信息安全技術(shù) 安全漏洞分類 GB/T 33561-2017]
2.2 漏洞詳情描述
Apache Dubbo是一款微服務(wù)框架,為大規(guī)模微服務(wù)實(shí)踐提供高性能RPC通信、流量治理、可觀測性等解決方案,涵蓋Java、Golang等多種語言 SDK 實(shí)現(xiàn)。
在Apache Dubbo中發(fā)現(xiàn)了一個高危漏洞。受此問題影響的是未知功能。對未知輸入的操作會導(dǎo)致權(quán)限提升漏洞。應(yīng)用程序會反序列化不受信任的數(shù)據(jù),而無需充分驗(yàn)證生成的數(shù)據(jù)是否有效。受影響的是機(jī)密性、完整性和可用性。
2.3 漏洞影響評估
2.3.1 受影響產(chǎn)品范圍
hessian-lite <= 3.2.12
Apache Dubbo 2.7.x <= 2.7.17
Apache Dubbo 3.0.x <= 3.0.11
Apache Dubbo 3.1.x <= 3.1.0
2.3.2 漏洞危害評估
根據(jù)Oracle官方信息,遠(yuǎn)程攻擊者成功利用該漏洞后可導(dǎo)致代碼執(zhí)行。中測安華必達(dá)實(shí)驗(yàn)室尚未發(fā)現(xiàn)針對該漏洞的利用工具。中測安華必達(dá)實(shí)驗(yàn)室對該漏洞影響情況評估后認(rèn)為,相關(guān)漏洞極有可能存在被攻擊者進(jìn)一步利用的風(fēng)險。鑒于使用Apache Dubbo產(chǎn)品的用戶群體較大,建議盡快去Apache官方網(wǎng)站下載升級補(bǔ)丁或更新至安全版本。
中測安華必達(dá)實(shí)驗(yàn)室將持續(xù)對此漏洞開展分析,及時更新相關(guān)信息,并通告提醒用戶。
3. 修復(fù)建議
3.1 廠商修復(fù)建議
Apache官方公告信息給出詳細(xì)修復(fù)建議,獲取鏈接如下:
https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk
4.參考鏈接
https://www.openwall.com/lists/oss-security/2022/10/18/3
5.時間線
Apache Dubbo Hession反序列化漏洞
1.5、Apache Dubbo Hession反序列化漏洞1.系統(tǒng)介紹
Apache Dubbo是一款高性能、輕量級的開源服務(wù)框架,提供了RPC通信與微服務(wù)處理兩大關(guān)鍵能力。近日,Apache發(fā)布安全公告,修復(fù)了影響Apache Dubbo多個版本的一個反序列化漏洞(CVE-2022-39198)。由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,成功利用此漏洞可在目標(biāo)系統(tǒng)上執(zhí)行惡意代碼。
2.漏洞描述
2022年10月20日,我司安全團(tuán)隊(duì)監(jiān)測到Apache Dubbo Hession反序列化漏洞,攻擊者可利用該漏洞獲取服務(wù)器權(quán)限,鑒于這些漏洞影響范圍極大,請相關(guān)用戶盡快采取措施進(jìn)行防護(hù)。
3.危害影響
受影響版本
●Apache Dubbo 2.7.x版本:<= 2.7.17
●Apache Dubbo 3.0.x版本:<= 3.0.11
●Apache Dubbo 3.1.x版本:<= 3.1.0
不受影響版本
●Apache Dubbo 2.7.18
●Apache Dubbo 3.0.12
●Apache Dubbo 3.1.1
4.修復(fù)建議
正式方案:
目前該漏洞已經(jīng)修復(fù),受影響用戶可以升級到Dubbo hessian-lite版本>=3.2.13;或升級Apache Dubbo到以下版本:
Apache Dubbo 2.7.x版本:>= 2.7.18
Apache Dubbo 3.0.x版本:>= 3.0.12
Apache Dubbo 3.1.x版本:>= 3.1.1
Apache Dubbo下載鏈接:
https://github.com/apache/dubbo/tags
Dubbo hessian-lite下載鏈接:
https://github.com/apache/dubbo-hessian-lite/releases
1.6、關(guān)于Apache Dubbo多個高危漏洞(CVE-2021-36162、CVE-2021-36163)的預(yù)警提示1.漏洞詳情
Apache Dubbo是一款應(yīng)用廣泛的Java RPC分布式服務(wù)框架。近日披露Apache Dubbo多個高危漏洞:
CVE-2021-36162 中,Apache Dubbo多處使用了yaml.load,攻擊者在控制如ZooKeeper注冊中心后可上傳惡意配置文件從而造成了Yaml反序列化漏洞。
CVE-2021-36163 中,Apache Dubbo中使用了不安全的Hessian 協(xié)議,攻擊者可以利用此漏洞觸發(fā)反序列化,造成遠(yuǎn)程代碼執(zhí)行漏洞。
建議受影響用戶及時更新至安全版本進(jìn)行防護(hù),做好資產(chǎn)自查以及預(yù)防工作,以免遭受黑客攻擊。
2.影響范圍
2.7.0 <= Dubbo <= 2.7.12
3.0.0 <= Dubbo <= 3.0.1
3.修復(fù)建議
升級 Apache Dubbo 至最新版本。
標(biāo)簽:
