突發(fā)！Dubbo被爆多個(gè)版本存在高危漏洞！

原文地址：https://www.anquanke.com/post/id/245429

作者：360CERT安全通告

0x01   漏洞簡(jiǎn)述

2021年06月24日，360CERT監(jiān)測(cè)發(fā)現(xiàn)Github SecurityLab發(fā)布了Dubbo組件多個(gè)高危漏洞的風(fēng)險(xiǎn)通告，漏洞編號(hào)為CVE-2021-25641等，漏洞等級(jí)：高危，漏洞評(píng)分：8.5。

Apache Dubbo是一款高性能、輕量級(jí)的開源Java RPC框架，它提供了三大核心能力：面向接口的遠(yuǎn)程方法調(diào)用，智能容錯(cuò)和負(fù)載均衡，以及服務(wù)自動(dòng)注冊(cè)和發(fā)現(xiàn)。

漏洞的相關(guān)技術(shù)細(xì)節(jié)已由Github SecurityLab公開。

對(duì)此，360CERT建議廣大用戶及時(shí)將Apache Dubbo升級(jí)到最新版本。與此同時(shí)，請(qǐng)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

0x02   風(fēng)險(xiǎn)等級(jí)

360CERT對(duì)該漏洞的評(píng)定結(jié)果如下

0x03   漏洞詳情

CVE-2021-25641: Dubbo 序列化漏洞

CVE: CVE-2021-25641

組件: Dubbo

漏洞類型: 序列化漏洞

影響: 代碼執(zhí)行,服務(wù)器接管

簡(jiǎn)述: Apache Dubbo 因支持Hessian2序列化框架，攻擊者利用特制的數(shù)據(jù)包繞過Hessian2黑名單限制，實(shí)現(xiàn)任意代碼執(zhí)行。

CVE-2021-30179: Dubbo 驗(yàn)證繞過漏洞

CVE: CVE-2021-30179

組件: Dubbo

漏洞類型: 驗(yàn)證繞過漏洞

影響: 代碼執(zhí)行,服務(wù)器接管

簡(jiǎn)述: Apache Dubbo Generic filter存在過濾不嚴(yán)，攻擊者可構(gòu)造惡意請(qǐng)求調(diào)用惡意方法從而造成任意代碼執(zhí)行。

CVE-2021-32824: Dubbo 驗(yàn)證繞過漏洞

CVE: CVE-2021-32824

組件: Dubbo

漏洞類型: 驗(yàn)證繞過漏洞

影響: 代碼執(zhí)行,服務(wù)器接管

簡(jiǎn)述: Apache Dubbo Telnet handler在處理相關(guān)請(qǐng)求時(shí)，允許攻擊者調(diào)用惡意方法從而造成遠(yuǎn)程代碼執(zhí)行。

CVE-2021-30180: Dubbo 序列化漏洞

CVE: CVE-2021-30180

組件: Dubbo

漏洞類型: 序列化漏洞

影響: 代碼執(zhí)行,服務(wù)器接管

簡(jiǎn)述: Apache Dubbo使用了yaml.load從外部加載數(shù)據(jù)內(nèi)容及配置文件，攻擊者在控制如ZooKeeper注冊(cè)中心后可上傳惡意配置文件，然后通過Dubbo調(diào)用RPC加載該配置文件從而造成了Yaml反序列化，實(shí)現(xiàn)任意代碼執(zhí)行。

CVE-2021-30181: Dubbo 代碼執(zhí)行漏洞

CVE: CVE-2021-30181

組件: Dubbo

漏洞類型: 代碼執(zhí)行

影響: 服務(wù)器接管

簡(jiǎn)述: Apache Dubbo 在和ZooKeeper進(jìn)行協(xié)同通信的過程中存在漏洞，攻擊者在控制如ZooKeeper注冊(cè)中心后可構(gòu)造惡意請(qǐng)求注入Nashorn腳本，造成任意代碼執(zhí)行。

0x04   影響版本

0x05   修復(fù)建議

通用修補(bǔ)建議

根據(jù)安全版本前往 Github下載更新 Release

0x06   相關(guān)空間測(cè)繪數(shù)據(jù)

360安全大腦-Quake網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)通過對(duì)全網(wǎng)資產(chǎn)測(cè)繪，發(fā)現(xiàn)Dubbo，具體分布如下圖所示。

Quake搜索表達(dá)式:app:"Apache_Dubbo"

0x07   時(shí)間線

2021-06-22 Github SecurityLab發(fā)布通告

2021-06-22 Github SecurityLab發(fā)布通告

2021-06-24 360CERT發(fā)布通告

推薦閱讀：
作為程序員，你評(píng)估工作量留buffer嗎？
還敢隨便抄？Stack Overflow上最火這段代碼有Bug！
再見了，Teamviewer！
字節(jié)跳動(dòng)1/3員工不支持取消大小周，員工：每年少賺10萬塊

喜歡我可以給我設(shè)為星標(biāo)哦