东森平台

首页 > 宁静研究 > 宁静通报 > 宁静通告

【漏洞通告】Apache Dubbo远程代码执行漏洞 (CVE-2021-36162)

宣布时间 2021-08-31

0x00 漏洞概述

CVE ID	CVE-2021-36162	时间	2021-08-30
类型	RCE	等级	高危
远程利用	是	影响范围
攻击庞大度		可用性
用户交互		所需权限
PoC/EXP	已果然	在野利用

0x01 漏洞详情

Apache Dubbo是一款应用广泛的Java RPC漫衍式服务框架。

2021年8月30日，Github SecurityLab果然披露了Apache Dubbo中的多个高危漏洞（CVE-2021-36162和CVE-2021-36163），攻击者可以利用这些漏洞远程执行任意代码。

Apache Dubbo YAML 反序列化漏洞（CVE-2021-36162）

Apache Dubbo中存在YAML 反序列化漏洞，可以访问配置中心的攻击者可以利用此漏洞远程执行任意代码。

Apache Dubbo远程代码执行漏洞（CVE-2021-36163）

Apache Dubbo使用了不宁静的Hessian 协议（可�。�，导致不宁静的反序列化，攻击者可以利用此漏洞远程执行任意代码。

此外，SecurityLab还果然了Apache Dubbo中的另一个RCE漏洞（GHSL-2021-096，拒绝修复），由于Apache Dubbo使用了不宁静的 RMI 协议，导致不宁静的反序列化，攻击者能够发送任意类型的参数并远程执行任意代码。

影响范围

Apache Dubbo v2.7.10

0x02 处置建议

目前CVE-2021-36162和CVE-2021-36163已经修复，建议及时应用宁静补丁。但GHSL-2021-096问题拒绝修复，建议用户启用 JEP 290机制。

CVE-2021-36162补丁链接：

https://github.com/apache/dubbo/pull/8350

CVE-2021-36163补丁链接：

https://github.com/apache/dubbo/pull/8238

0x03 参考链接

https://securitylab.github.com/advisories/GHSL-2021-094-096-apache-dubbo/

https://dubbo.apache.org/en/downloads/

http://openjdk.java.net/jeps/290

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-36162

0x04 更新版本

版本	日期	修改内容
V1.0	2021-08-31	首次宣布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

NVD：nvd.nist.gov

CVSS：www.first.org

0x06 关于东森平台

关注以下公众号，获取更多资讯：

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号