GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】Apache Dubbo远程代码执行缝隙 (CVE-2021-36162)

颁布功夫 2021-08-31

0x00 缝隙概述

CVE ID	CVE-2021-36162	时间	2021-08-30
类型	RCE	等级	高危
远程利用	是	影响领域
攻击复杂度		可用性
用户交互		所需权限
PoC/EXP	已公开	在野利用

0x01 缝隙详情

Apache Dubbo是一款利用宽泛的Java RPC散布式服务框架。

2021年8月30日，Github SecurityLab公开披露了Apache Dubbo中的多个高危缝隙（CVE-2021-36162和CVE-2021-36163），攻击者能够利用这些缝隙远程执行肆意代码。

Apache Dubbo YAML 反序列化缝隙（CVE-2021-36162）

Apache Dubbo中存在YAML 反序列化缝隙，能够接见配置中心的攻击者能够利用此缝隙远程执行肆意代码。

Apache Dubbo远程代码执行缝隙（CVE-2021-36163）

Apache Dubbo使用了不安全的Hessian 和谈（可�。�，导致不安全的反序列化，攻击者能够利用此缝隙远程执行肆意代码。

此表，SecurityLab还公开了Apache Dubbo中的另一个RCE缝隙（GHSL-2021-096，回绝建复），由于Apache Dubbo使用了不安全的 RMI 和谈，导致不安全的反序列化，攻击者可能发送肆意类型的参数并远程执行肆意代码。

影响领域

Apache Dubbo v2.7.10

0x02 措置建议

目前CVE-2021-36162和CVE-2021-36163已经建复，建议实时利用安全补丁。但GHSL-2021-096问题回绝建复，建议用户启用 JEP 290机造。

CVE-2021-36162补丁链接：

https://github.com/apache/dubbo/pull/8350

CVE-2021-36163补丁链接：

https://github.com/apache/dubbo/pull/8238

0x03 参考链接

https://securitylab.github.com/advisories/GHSL-2021-094-096-apache-dubbo/

https://dubbo.apache.org/en/downloads/

http://openjdk.java.net/jeps/290

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-36162

0x04 更新版本

版本	日期	批改内容
V1.0	2021-08-31	初次颁布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

NVD：nvd.nist.gov

CVSS：www.first.org

0x06 关于GA黄金甲

关注以下公家号，获取更多资讯：

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】