Apache Dubbo 高危漏洞通告

前沿技術早知道，彎道超車有希望?

積累超車資本，從關注DD開始

作者：360CERT，?圖文編輯：xj

來源：https://www.oschina.net/news/178522

報告編號：B6-2022-011403

報告來源：360CERT

報告作者：360CERT

更新日期：2022-01-14

1 漏洞簡述

2022年01月14日，360CERT監(jiān)測發(fā)現(xiàn)Apache官方 發(fā)布了Apache Dubbo hessian-lite的風險通告，漏洞編號為CVE-2021-43297，漏洞等級：高危，漏洞評分：7.5。

Dubbo是一款高性能、輕量級的開源Java RPC框架，它提供了三大核心能力：面向接口的遠程方法調(diào)用，智能容錯和負載均衡，以及服務自動注冊和發(fā)現(xiàn)。

對此，360CERT建議廣大用戶及時將Apache Dubbo升級到最新版本。與此同時，請做好資產(chǎn)自查以及預防工作，以免遭受黑客攻擊。

2 風險等級

360CERT對該漏洞的評定結果如下

3 漏洞詳情

CVE-2021-43297: Apache Dubbo代碼執(zhí)行漏洞

CVE: CVE-2021-43297

組件: Apache Dubbo

漏洞類型: 反序列化

影響: 代碼執(zhí)行

簡述: Apache Dubbo hessian-lite 3.2.11及之前版本存在一個反序列化漏洞。大多數(shù)Dubbo用戶默認使用Hessian2序列化/反序列化協(xié)議，在Hessian捕捉到異常時，會注銷用戶的一些信息，這可能導致遠程命令執(zhí)行。

4 影響版本

5 修復建議

通用修補建議

根據(jù)影響版本中的信息，排查并升級到安全版本。下載鏈接：https://github.com/apache/dubbo/releases

6 時間線

2022-01-09?Apache官方發(fā)布通告

2022-01-14?360CERT發(fā)布通告

7 參考鏈接

https://lists.apache.org/thread/1mszxrvp90y01xob56yp002939c7hlww

推薦閱讀

• 好幾天沒戴工牌坐地鐵了，受不了！
  
• 裸辭之后自己在家接單是什么體驗？
  
• Java為什么冷啟動開銷大？我們又該如何解決？

前沿技術早知道，彎道超車有希望?

積累超車資本，從關注DD開始

點擊閱讀原文，送你免費Spring Boot教程！