亚洲精品不卡久久久久久_色视频线观看在线 _妽妽夹得我好舒服_国产真人一级a爱做片高潮_亚洲aⅴ无码专区在线观看q

Apache Dubbo有漏洞編號(hào)的漏洞

（1）Apache Dubbo 反序列化漏洞(CVE-2022-39198)（2）Apache Dubbo存在遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-32824）（3）CVE-2021-36162（源于CVE-2021-30180）Yaml 反序列化（4）CVE-2021-36163

【資料圖】

1.1、Apache Dubbo 反序列化漏洞(CVE-2022-39198)

漏洞描述：

由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞，攻擊者成功利用此漏洞可在目標(biāo)系統(tǒng)上執(zhí)行惡意程序代碼，甚至接管服務(wù)所在服務(wù)器。

漏洞影響版本：

Apache Dubbo hessian-lite <=3.2.12

Apache Dubbo 2.7.x <=2.7.17

Apache Dubbo 3.0.x <=3.0.11

Apache Dubbo 3.1.x <=3.1.0

漏洞在野情況：

exp暫未公開(kāi)。

漏洞修復(fù)方式：

Apache已發(fā)布修復(fù)了此漏洞的更新版本，可通過(guò)下載官方的版本更新修復(fù)漏洞，下載地址如下：https://github.com/apache/dubbo/tags

注：此通報(bào)無(wú)漏洞編號(hào)

1.2、關(guān)于A(yíng)pache Dubbo Hession反序列化漏洞的通報(bào)

1.產(chǎn)品描述：Apache Dubbo hessian-lite是一款微服務(wù)開(kāi)發(fā)框架

2.影響產(chǎn)品或組件及版本：Apache Dubbo 2.7.x版本：<= 2.7.17，Apache Dubbo 3.0.x版本：<= 3.0.11，Apache Dubbo 3.1.x版本：<= 3.1.0

3.技術(shù)細(xì)節(jié)表述: 在A(yíng)pache Dubbo hessian-lite 3.2.12及之前版本存在反序列化漏洞，未經(jīng)授權(quán)的攻擊者可通過(guò)構(gòu)造惡意請(qǐng)求在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

4.修補(bǔ)措施：目前官方已在高版本中修復(fù)了該漏洞，受影響用戶(hù)可以升級(jí)到Dubbo hessian-lite 版本 >=3.2.13。

5.漏洞來(lái)源：https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk

1.3、Apache Dubbo存在遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2021-32824）

發(fā)布時(shí)間：來(lái)源: zhangyusen@zqfae.com

1.產(chǎn)品描述：Apache Dubbo是美國(guó)阿帕奇（Apache）基金會(huì)的一款基于Java的輕量級(jí)RPC（遠(yuǎn)程過(guò)程調(diào)用）框架。該產(chǎn)品提供了基于接口的遠(yuǎn)程呼叫、容錯(cuò)和負(fù)載平衡以及自動(dòng)服務(wù)注冊(cè)和發(fā)現(xiàn)等功能。

2.影響產(chǎn)品或組件及版本（必填）：2.6.10 和 2.7.10之前的版本均受影響

3.受影響資產(chǎn)情況：通過(guò)資產(chǎn)測(cè)繪系統(tǒng)fofa發(fā)現(xiàn)，全球共14,291個(gè)使用記錄，其中第一名中國(guó)10435個(gè)，第二名美國(guó)1723個(gè)、第三名新加坡114個(gè)。

4.技術(shù)細(xì)節(jié)表述：2.6.10和2.7.10之前的版本容易通過(guò)Telnet處理程序中的任意bean操作執(zhí)行預(yù)授權(quán)遠(yuǎn)程代碼。Dubbo主服務(wù)端口可用于訪(fǎng)問(wèn)Telnet處理程序，它提供一些基本方法來(lái)收集服務(wù)公開(kāi)的提供者和方法的信息，甚至可以允許關(guān)閉服務(wù)。此端點(diǎn)不受保護(hù)。此外，可以使用“invoke”處理程序調(diào)用提供程序方法。此處理程序使用FastJson的安全版本來(lái)處理調(diào)用參數(shù)。然而，生成的列表稍后將使用“PojoUtils.realize”進(jìn)行處理，該列表可用于實(shí)例化任意類(lèi)并調(diào)用其setter。盡管FastJson通過(guò)默認(rèn)阻止列表得到了適當(dāng)?shù)谋Ｗo(hù)，但“PojoUtils.realize”沒(méi)有，攻擊者可以利用它實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

5.修補(bǔ)措施：官方已發(fā)布新版本，鏈接為：https://github.com/apache/dubbo

6.漏洞來(lái)源：https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/

1.4、Apache Dubbo 遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警

1. 概述

2022年10月19日，中測(cè)安華必達(dá)實(shí)驗(yàn)室發(fā)現(xiàn)Apache披露了名為“Apache Dubbo 遠(yuǎn)程代碼執(zhí)行漏洞”的高風(fēng)險(xiǎn)漏洞，攻擊者可利用該漏洞通過(guò)構(gòu)造特定請(qǐng)求在目標(biāo)服務(wù)器上執(zhí)行惡意代碼。中測(cè)安華必達(dá)實(shí)驗(yàn)室從該漏洞的基本信息、漏洞影響、修復(fù)情況等多方面信息初步研判，該漏洞危害風(fēng)險(xiǎn)較高影響較大，提醒用戶(hù)及時(shí)采取消控措施。

2. 漏洞分析

2.1 漏洞信息概要

漏洞名稱(chēng)

Apache Dubbo 遠(yuǎn)程代碼執(zhí)行漏洞

漏洞編號(hào)

CNNVD編號(hào)：暫無(wú)

CNVD編號(hào)：暫無(wú)

CVE編號(hào)：CVE-2022-39198

漏洞類(lèi)型：代碼執(zhí)行

危害等級(jí)：高危

CVSS 3.0：8.1 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H)

相關(guān)廠(chǎng)商：Apache

受影響產(chǎn)品：Apache Dubbo

廠(chǎng)商修復(fù)情況

廠(chǎng)商已修復(fù)

注：漏洞類(lèi)型與危害等級(jí)參考[信息安全技術(shù) 安全漏洞分類(lèi) GB/T 33561-2017]

2.2 漏洞詳情描述

Apache Dubbo是一款微服務(wù)框架，為大規(guī)模微服務(wù)實(shí)踐提供高性能RPC通信、流量治理、可觀(guān)測(cè)性等解決方案，涵蓋Java、Golang等多種語(yǔ)言 SDK 實(shí)現(xiàn)。

在A(yíng)pache Dubbo中發(fā)現(xiàn)了一個(gè)高危漏洞。受此問(wèn)題影響的是未知功能。對(duì)未知輸入的操作會(huì)導(dǎo)致權(quán)限提升漏洞。應(yīng)用程序會(huì)反序列化不受信任的數(shù)據(jù)，而無(wú)需充分驗(yàn)證生成的數(shù)據(jù)是否有效。受影響的是機(jī)密性、完整性和可用性。

2.3 漏洞影響評(píng)估

2.3.1 受影響產(chǎn)品范圍

hessian-lite <= 3.2.12

Apache Dubbo 2.7.x <= 2.7.17

Apache Dubbo 3.0.x <= 3.0.11

Apache Dubbo 3.1.x <= 3.1.0

2.3.2 漏洞危害評(píng)估

根據(jù)Oracle官方信息，遠(yuǎn)程攻擊者成功利用該漏洞后可導(dǎo)致代碼執(zhí)行。中測(cè)安華必達(dá)實(shí)驗(yàn)室尚未發(fā)現(xiàn)針對(duì)該漏洞的利用工具。中測(cè)安華必達(dá)實(shí)驗(yàn)室對(duì)該漏洞影響情況評(píng)估后認(rèn)為，相關(guān)漏洞極有可能存在被攻擊者進(jìn)一步利用的風(fēng)險(xiǎn)。鑒于使用Apache Dubbo產(chǎn)品的用戶(hù)群體較大，建議盡快去Apache官方網(wǎng)站下載升級(jí)補(bǔ)丁或更新至安全版本。

中測(cè)安華必達(dá)實(shí)驗(yàn)室將持續(xù)對(duì)此漏洞開(kāi)展分析，及時(shí)更新相關(guān)信息，并通告提醒用戶(hù)。

3. 修復(fù)建議

3.1 廠(chǎng)商修復(fù)建議

Apache官方公告信息給出詳細(xì)修復(fù)建議，獲取鏈接如下：

https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk

4.參考鏈接

https://www.openwall.com/lists/oss-security/2022/10/18/3

5.時(shí)間線(xiàn)

Apache Dubbo Hession反序列化漏洞

1.5、Apache Dubbo Hession反序列化漏洞

1.系統(tǒng)介紹

Apache Dubbo是一款高性能、輕量級(jí)的開(kāi)源服務(wù)框架，提供了RPC通信與微服務(wù)處理兩大關(guān)鍵能力。近日，Apache發(fā)布安全公告，修復(fù)了影響Apache Dubbo多個(gè)版本的一個(gè)反序列化漏洞（CVE-2022-39198）。由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞，成功利用此漏洞可在目標(biāo)系統(tǒng)上執(zhí)行惡意代碼。

2.漏洞描述

2022年10月20日，我司安全團(tuán)隊(duì)監(jiān)測(cè)到Apache Dubbo Hession反序列化漏洞，攻擊者可利用該漏洞獲取服務(wù)器權(quán)限，鑒于這些漏洞影響范圍極大，請(qǐng)相關(guān)用戶(hù)盡快采取措施進(jìn)行防護(hù)。

3.危害影響

受影響版本

●Apache Dubbo 2.7.x版本：<= 2.7.17

●Apache Dubbo 3.0.x版本：<= 3.0.11

●Apache Dubbo 3.1.x版本：<= 3.1.0

不受影響版本

●Apache Dubbo 2.7.18

●Apache Dubbo 3.0.12

●Apache Dubbo 3.1.1

4.修復(fù)建議

正式方案：

目前該漏洞已經(jīng)修復(fù)，受影響用戶(hù)可以升級(jí)到Dubbo hessian-lite版本>=3.2.13；或升級(jí)Apache Dubbo到以下版本：

Apache Dubbo 2.7.x版本：>= 2.7.18

Apache Dubbo 3.0.x版本：>= 3.0.12

Apache Dubbo 3.1.x版本：>= 3.1.1

Apache Dubbo下載鏈接：

https://github.com/apache/dubbo/tags

Dubbo hessian-lite下載鏈接：

https://github.com/apache/dubbo-hessian-lite/releases

1.6、關(guān)于A(yíng)pache Dubbo多個(gè)高危漏洞（CVE-2021-36162、CVE-2021-36163）的預(yù)警提示

1.漏洞詳情

Apache Dubbo是一款應(yīng)用廣泛的Java RPC分布式服務(wù)框架。近日披露Apache Dubbo多個(gè)高危漏洞：

CVE-2021-36162 中，Apache Dubbo多處使用了yaml.load，攻擊者在控制如ZooKeeper注冊(cè)中心后可上傳惡意配置文件從而造成了Yaml反序列化漏洞。

CVE-2021-36163 中，Apache Dubbo中使用了不安全的Hessian 協(xié)議，攻擊者可以利用此漏洞觸發(fā)反序列化，造成遠(yuǎn)程代碼執(zhí)行漏洞。

建議受影響用戶(hù)及時(shí)更新至安全版本進(jìn)行防護(hù)，做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

2.影響范圍

2.7.0 <= Dubbo <= 2.7.12

3.0.0 <= Dubbo <= 3.0.1

3.修復(fù)建議

升級(jí) Apache Dubbo 至最新版本。