腾讯云公告 > 公告详情
扫码查看公告
【安全通告】Apache Dubbo 远程代码执行漏洞风险通告(CVE-2021-43297)
尊敬的腾讯云用户,您好!
腾讯云安全运营中心监测到, Apache Dubbo官方发布安全通告,披露了Apache Dubbo hessian-lite存在远程代码执行漏洞,漏洞编号CVE-2021-43297。可导致远程代码执行等危害。
为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Dubbo是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring框架无缝集成。
据官方描述,dubbo hessian-lite 3.2.11及之前版本存在反序列化漏洞,可能导致恶意代码执行。 大多数 Dubbo 用户使用 Hessian2 作为默认的序列化/反序列化协议,在 Hessian 捕获意外异常期间,Hessian 会注销一些信息,并可能导致远程代码执行。
风险等级
高风险
漏洞风险
攻击者利用该漏洞可导致远程执行任意代码
影响版本
Apache Dubbo 2.6.x < 2.6.12,
Apache Dubbo 2.7.x < 2.7.15,
Apache Dubbo 3.0.x < 3.0.5
Apache Dubbo 2.7.x < 2.7.15,
Apache Dubbo 3.0.x < 3.0.5
安全版本
Apache Dubbo 2.6.x >= 2.6.12,
Apache Dubbo 2.7.x >= 2.7.15,
Apache Dubbo 3.0.x >= 3.0.5
Apache Dubbo 2.7.x >= 2.7.15,
Apache Dubbo 3.0.x >= 3.0.5
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
https://www.mail-archive.com/dev@dubbo.apache.org/msg07443.html
2022-01-10