Apache Dubbo多个高危漏洞（CVE-2021-30179等）

2021年6月24日，武汉云之巅应急响应中心监测到国外安全研究人员披露Apache Dubbo多个高危漏洞详情。

漏洞描述

Apache Dubbo是一款应用广泛的Java RPC分布式服务框架， 提供了六大核心能力：面向接口代理的高性能RPC调用，智能容错和负载均衡，服务自动注册和发现，高度可扩展能力，运行期流量调度，可视化的服务治理与运维。2021年6月24日，国外安全研究人员披露Apache Dubbo多个高危漏洞详情：

CVE-2021-25641 中，攻击者可利用其他协议绕过Hessian2黑名单造成反序列化。

CVE-2021-30179 中，Apache Dubbo Generic filter存在过滤不严，攻击者可构造恶意请求调用恶意方法从而造成远程代码执行。

CVE-2021-32824 中，Apache Dubbo Telnet handler在处理相关请求时，允许攻击者调用恶意方法从而造成远程代码执行。

CVE-2021-30180中，Apache Dubbo多处使用了yaml.load，攻击者在控制如ZooKeeper注册中心后可上传恶意配置文件从而造成了Yaml反序列化漏洞。

CVE-2021-30181中，攻击者在控制如ZooKeeper注册中心后可构造恶意请求注入Nashorn脚本，造成远程代码执行。

武汉云之巅应急响应中心提醒 Apache Dubbo 用户尽快采取安全措施阻止漏洞攻击。

漏洞细节：公开

漏洞POC：公开

漏洞EXP：公开

在野利用：未知

漏洞评级

CVE-2021-25641 Apache Dubbo Hessian2 协议反序列化漏洞 高危

CVE-2021-30179 Apache Dubbo Generic filter 远程代码执行漏洞 高危

CVE-2021-32824 Apache Dubbo Telnet handler 远程代码执行漏洞

CVE-2021-30180 Apache Dubbo YAML 反序列化漏洞 高危

CVE-2021-30181 Apache Dubbo Nashorn 脚本远程代码执行漏洞 高危

影响版本

Apache Dubbo >= 2.7.0 且 < 2.7.10

Apache Dubbo >= 2.5.0 且 < 2.6.10

Apache Dubbo 2.5.x 所有版本 (官方不再提供支持)。

安全版本

Apache Dubbo 2.7.10

Apache Dubbo 2.6.10

安全建议

1、升级 Apache Dubbo 至最新版本

2、利用云厂商安全组功能设置 Apache Dubbo 相关端口仅对可信地址开放。

相关链接

https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/