尊龙凯时

首页 > 清静研究 > 清静转达 > 清静通告

【误差通告】Apache Dubbo远程代码执行误差 (CVE-2021-36162)

宣布时间 2021-08-31

0x00 误差概述

CVE ID	CVE-2021-36162	时间	2021-08-30
类型	RCE	等级	高危
远程使用	是	影响规模
攻击重漂后		可用性
用户交互		所需权限
PoC/EXP	已果真	在野使用

0x01 误差详情

Apache Dubbo是一款应用普遍的Java RPC漫衍式服务框架。

2021年8月30日，Github SecurityLab果真披露了Apache Dubbo中的多个高危误差（CVE-2021-36162和CVE-2021-36163），攻击者可以使用这些误差远程执行恣意代码。

Apache Dubbo YAML 反序列化误差（CVE-2021-36162）

Apache Dubbo中保存YAML 反序列化误差，可以会见设置中心的攻击者可以使用此误差远程执行恣意代码。

Apache Dubbo远程代码执行误差（CVE-2021-36163）

Apache Dubbo使用了不清静的Hessian 协议（可�。�，导致不清静的反序列化，攻击者可以使用此误差远程执行恣意代码。

别的，SecurityLab还果真了Apache Dubbo中的另一个RCE误差（GHSL-2021-096，拒绝修复），由于Apache Dubbo使用了不清静的 RMI 协议，导致不清静的反序列化，攻击者能够发送恣意类型的参数并远程执行恣意代码。

影响规模

Apache Dubbo v2.7.10

0x02 处置惩罚建议

现在CVE-2021-36162和CVE-2021-36163已经修复，建议实时应用清静补丁。但GHSL-2021-096问题拒绝修复，建议用户启用 JEP 290机制。

CVE-2021-36162补丁链接：

https://github.com/apache/dubbo/pull/8350

CVE-2021-36163补丁链接：

https://github.com/apache/dubbo/pull/8238

0x03 参考链接

https://securitylab.github.com/advisories/GHSL-2021-094-096-apache-dubbo/

https://dubbo.apache.org/en/downloads/

http://openjdk.java.net/jeps/290

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-36162

0x04 更新版本

版本	日期	修改内容
V1.0	2021-08-31	首次宣布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

NVD：nvd.nist.gov

CVSS：www.first.org

0x06 关于尊龙凯时

关注以下公众号，获取更多资讯：

上一篇下一篇

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 尊龙凯时版权所有京ICP备05032414号京公网安备11010802024551号