亚洲精品不卡久久久久久_色视频线观看在线 _妽妽夹得我好舒服_国产真人一级a爱做片高潮_亚洲aⅴ无码专区在线观看q

當前位置: 首頁 >綜合 > 正文

每日熱門:Apache Dubbo漏洞收集與整理

2023-05-06 14:20:08 來源:https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk1.3、Apache Dubbo存在遠程代碼執(zhí)行漏洞(CVE-2021-32824)發(fā)布時間:來源: zhangyusen@zqfae.com1.產(chǎn)品描述:Apache Dubbo是美國阿帕奇(Apache)基金會的一款基于Java的輕量級RPC(遠程過程調(diào)用)框架。該產(chǎn)品提供了基于接口的遠程呼叫、容錯和負載平衡以及自動服務注冊和發(fā)現(xiàn)等功能。2.影響產(chǎn)品或組件及版本(必填):2.

Apache Dubbo有漏洞編號的漏洞

(1)Apache Dubbo 反序列化漏洞(CVE-2022-39198)(2)Apache Dubbo存在遠程代碼執(zhí)行漏洞(CVE-2021-32824)(3)CVE-2021-36162(源于CVE-2021-30180)Yaml 反序列化(4)CVE-2021-36163


【資料圖】

1.1、Apache Dubbo 反序列化漏洞(CVE-2022-39198)

漏洞描述:

由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,攻擊者成功利用此漏洞可在目標系統(tǒng)上執(zhí)行惡意程序代碼,甚至接管服務所在服務器。

漏洞影響版本:

Apache Dubbo hessian-lite <=3.2.12

Apache Dubbo 2.7.x <=2.7.17

Apache Dubbo 3.0.x <=3.0.11

Apache Dubbo 3.1.x <=3.1.0

漏洞在野情況:

exp暫未公開。

漏洞修復方式:

Apache已發(fā)布修復了此漏洞的更新版本,可通過下載官方的版本更新修復漏洞,下載地址如下:https://github.com/apache/dubbo/tags

注:此通報無漏洞編號

1.2、關(guān)于Apache Dubbo Hession反序列化漏洞的通報

1.產(chǎn)品描述:Apache Dubbo hessian-lite是一款微服務開發(fā)框架

2.影響產(chǎn)品或組件及版本:Apache Dubbo 2.7.x版本:<= 2.7.17,Apache Dubbo 3.0.x版本:<= 3.0.11,Apache Dubbo 3.1.x版本:<= 3.1.0

3.技術(shù)細節(jié)表述: 在Apache Dubbo hessian-lite 3.2.12及之前版本存在反序列化漏洞,未經(jīng)授權(quán)的攻擊者可通過構(gòu)造惡意請求在目標系統(tǒng)上執(zhí)行任意代碼。

4.修補措施:目前官方已在高版本中修復了該漏洞,受影響用戶可以升級到Dubbo hessian-lite 版本 >=3.2.13。

5.漏洞來源:https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk

1.3、Apache Dubbo存在遠程代碼執(zhí)行漏洞(CVE-2021-32824)

發(fā)布時間:來源: zhangyusen@zqfae.com

1.產(chǎn)品描述:Apache Dubbo是美國阿帕奇(Apache)基金會的一款基于Java的輕量級RPC(遠程過程調(diào)用)框架。該產(chǎn)品提供了基于接口的遠程呼叫、容錯和負載平衡以及自動服務注冊和發(fā)現(xiàn)等功能。

2.影響產(chǎn)品或組件及版本(必填):2.6.10 和 2.7.10之前的版本均受影響

3.受影響資產(chǎn)情況:通過資產(chǎn)測繪系統(tǒng)fofa發(fā)現(xiàn),全球共14,291個使用記錄,其中第一名中國10435個,第二名美國1723個、第三名新加坡114個。

4.技術(shù)細節(jié)表述:2.6.10和2.7.10之前的版本容易通過Telnet處理程序中的任意bean操作執(zhí)行預授權(quán)遠程代碼。Dubbo主服務端口可用于訪問Telnet處理程序,它提供一些基本方法來收集服務公開的提供者和方法的信息,甚至可以允許關(guān)閉服務。此端點不受保護。此外,可以使用“invoke”處理程序調(diào)用提供程序方法。此處理程序使用FastJson的安全版本來處理調(diào)用參數(shù)。然而,生成的列表稍后將使用“PojoUtils.realize”進行處理,該列表可用于實例化任意類并調(diào)用其setter。盡管FastJson通過默認阻止列表得到了適當?shù)谋Wo,但“PojoUtils.realize”沒有,攻擊者可以利用它實現(xiàn)遠程代碼執(zhí)行。

5.修補措施:官方已發(fā)布新版本,鏈接為:https://github.com/apache/dubbo

6.漏洞來源:https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/

1.4、Apache Dubbo 遠程代碼執(zhí)行漏洞預警

1. 概述

2022年10月19日,中測安華必達實驗室發(fā)現(xiàn)Apache披露了名為“Apache Dubbo 遠程代碼執(zhí)行漏洞”的高風險漏洞,攻擊者可利用該漏洞通過構(gòu)造特定請求在目標服務器上執(zhí)行惡意代碼。中測安華必達實驗室從該漏洞的基本信息、漏洞影響、修復情況等多方面信息初步研判,該漏洞危害風險較高影響較大,提醒用戶及時采取消控措施。

2. 漏洞分析

2.1 漏洞信息概要

漏洞名稱

Apache Dubbo 遠程代碼執(zhí)行漏洞

漏洞編號

CNNVD編號:暫無

CNVD編號:暫無

CVE編號:CVE-2022-39198

漏洞類型:代碼執(zhí)行

危害等級:高危

CVSS 3.0:8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)

相關(guān)廠商:Apache

受影響產(chǎn)品:Apache Dubbo

廠商修復情況

廠商已修復

注:漏洞類型與危害等級參考[信息安全技術(shù) 安全漏洞分類 GB/T 33561-2017]

2.2 漏洞詳情描述

Apache Dubbo是一款微服務框架,為大規(guī)模微服務實踐提供高性能RPC通信、流量治理、可觀測性等解決方案,涵蓋Java、Golang等多種語言 SDK 實現(xiàn)。

在Apache Dubbo中發(fā)現(xiàn)了一個高危漏洞。受此問題影響的是未知功能。對未知輸入的操作會導致權(quán)限提升漏洞。應用程序會反序列化不受信任的數(shù)據(jù),而無需充分驗證生成的數(shù)據(jù)是否有效。受影響的是機密性、完整性和可用性。

2.3 漏洞影響評估

2.3.1 受影響產(chǎn)品范圍

hessian-lite <= 3.2.12

Apache Dubbo 2.7.x <= 2.7.17

Apache Dubbo 3.0.x <= 3.0.11

Apache Dubbo 3.1.x <= 3.1.0

2.3.2 漏洞危害評估

根據(jù)Oracle官方信息,遠程攻擊者成功利用該漏洞后可導致代碼執(zhí)行。中測安華必達實驗室尚未發(fā)現(xiàn)針對該漏洞的利用工具。中測安華必達實驗室對該漏洞影響情況評估后認為,相關(guān)漏洞極有可能存在被攻擊者進一步利用的風險。鑒于使用Apache Dubbo產(chǎn)品的用戶群體較大,建議盡快去Apache官方網(wǎng)站下載升級補丁或更新至安全版本。

中測安華必達實驗室將持續(xù)對此漏洞開展分析,及時更新相關(guān)信息,并通告提醒用戶。

3. 修復建議

3.1 廠商修復建議

Apache官方公告信息給出詳細修復建議,獲取鏈接如下:

https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk

4.參考鏈接

https://www.openwall.com/lists/oss-security/2022/10/18/3

5.時間線

Apache Dubbo Hession反序列化漏洞

1.5、Apache Dubbo Hession反序列化漏洞

1.系統(tǒng)介紹

Apache Dubbo是一款高性能、輕量級的開源服務框架,提供了RPC通信與微服務處理兩大關(guān)鍵能力。近日,Apache發(fā)布安全公告,修復了影響Apache Dubbo多個版本的一個反序列化漏洞(CVE-2022-39198)。由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,成功利用此漏洞可在目標系統(tǒng)上執(zhí)行惡意代碼。

2.漏洞描述

2022年10月20日,我司安全團隊監(jiān)測到Apache Dubbo Hession反序列化漏洞,攻擊者可利用該漏洞獲取服務器權(quán)限,鑒于這些漏洞影響范圍極大,請相關(guān)用戶盡快采取措施進行防護。

3.危害影響

受影響版本

●Apache Dubbo 2.7.x版本:<= 2.7.17

●Apache Dubbo 3.0.x版本:<= 3.0.11

●Apache Dubbo 3.1.x版本:<= 3.1.0

不受影響版本

●Apache Dubbo 2.7.18

●Apache Dubbo 3.0.12

●Apache Dubbo 3.1.1

4.修復建議

正式方案:

目前該漏洞已經(jīng)修復,受影響用戶可以升級到Dubbo hessian-lite版本>=3.2.13;或升級Apache Dubbo到以下版本:

Apache Dubbo 2.7.x版本:>= 2.7.18

Apache Dubbo 3.0.x版本:>= 3.0.12

Apache Dubbo 3.1.x版本:>= 3.1.1

Apache Dubbo下載鏈接:

https://github.com/apache/dubbo/tags

Dubbo hessian-lite下載鏈接:

https://github.com/apache/dubbo-hessian-lite/releases

1.6、關(guān)于Apache Dubbo多個高危漏洞(CVE-2021-36162、CVE-2021-36163)的預警提示

1.漏洞詳情

Apache Dubbo是一款應用廣泛的Java RPC分布式服務框架。近日披露Apache Dubbo多個高危漏洞:

CVE-2021-36162 中,Apache Dubbo多處使用了yaml.load,攻擊者在控制如ZooKeeper注冊中心后可上傳惡意配置文件從而造成了Yaml反序列化漏洞。

CVE-2021-36163 中,Apache Dubbo中使用了不安全的Hessian 協(xié)議,攻擊者可以利用此漏洞觸發(fā)反序列化,造成遠程代碼執(zhí)行漏洞。

建議受影響用戶及時更新至安全版本進行防護,做好資產(chǎn)自查以及預防工作,以免遭受黑客攻擊。

2.影響范圍

2.7.0 <= Dubbo <= 2.7.12

3.0.0 <= Dubbo <= 3.0.1

3.修復建議

升級 Apache Dubbo 至最新版本。

標簽:

返回頂部