凯发k8

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】Apache Dubbo远程代码执行误差 (CVE-2021-36162)

宣布时间 2021-08-31

0x00 误差概述

CVE ID	CVE-2021-36162	时间	2021-08-30
类型	RCE	等级	高危
远程使用	是	影响规模
攻击重漂后		可用性
用户交互		所需权限
PoC/EXP	已果真	在野使用

0x01 误差详情

Apache Dubbo是一款应用普遍的Java RPC漫衍式效劳框架。。。。。。

2021年8月30日，，，，Github SecurityLab果真披露了Apache Dubbo中的多个高危误差（CVE-2021-36162和CVE-2021-36163），，，，攻击者可以使用这些误差远程执行恣意代码。。。。。。

Apache Dubbo YAML 反序列化误差（CVE-2021-36162）

Apache Dubbo中保存YAML 反序列化误差，，，，可以会见设置中心的攻击者可以使用此误差远程执行恣意代码。。。。。。

Apache Dubbo远程代码执行误差（CVE-2021-36163）

Apache Dubbo使用了不清静的Hessian 协议（可�。。。。。。�，，，，导致不清静的反序列化，，，，攻击者可以使用此误差远程执行恣意代码。。。。。。

别的，，，，SecurityLab还果真了Apache Dubbo中的另一个RCE误差（GHSL-2021-096，，，，拒绝修复），，，，由于Apache Dubbo使用了不清静的 RMI 协议，，，，导致不清静的反序列化，，，，攻击者能够发送恣意类型的参数并远程执行恣意代码。。。。。。

影响规模

Apache Dubbo v2.7.10

0x02 处置惩罚建议

现在CVE-2021-36162和CVE-2021-36163已经修复，，，，建议实时应用清静补丁。。。。。。但GHSL-2021-096问题拒绝修复，，，，建议用户启用 JEP 290机制。。。。。。

CVE-2021-36162补丁链接：

https://github.com/apache/dubbo/pull/8350

CVE-2021-36163补丁链接：

https://github.com/apache/dubbo/pull/8238

0x03 参考链接

https://securitylab.github.com/advisories/GHSL-2021-094-096-apache-dubbo/

https://dubbo.apache.org/en/downloads/

http://openjdk.java.net/jeps/290

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-36162

0x04 更新版本

版本	日期	修改内容
V1.0	2021-08-31	首次宣布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

NVD：nvd.nist.gov

CVSS：www.first.org

0x06 关于凯发k8

关注以下公众号，，，，获取更多资讯：

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 凯发k8 版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】