報告編號:B6-2022-011403
報告來源:360CERT
報告作者:360CERT
更新日期:2022-01-14
1 漏洞簡述
2022年01月14日,360CERT監測發現Apache官方 釋出了Apache Dubbo hessian-lite的風險通告,漏洞編號為CVE-2021-43297,漏洞等級:高危,漏洞評分:7.5。
Dubbo是一款高效能、輕量級的開源Java RPC框架,它提供了三大核心能力:面向介面的遠端方法呼叫,智慧容錯和負載均衡,以及服務自動註冊和發現。
對此,360CERT建議廣大使用者及時將Apache Dubbo升級到最新版本。與此同時,請做好資產自查以及預防工作,以免遭受駭客攻擊。
2 風險等級
360CERT對該漏洞的評定結果如下
3 漏洞詳情
CVE-2021-43297: Apache Dubbo程式碼執行漏洞
CVE: CVE-2021-43297
元件: Apache Dubbo
漏洞型別: 反序列化
影響: 程式碼執行
簡述: Apache Dubbo hessian-lite 3.2.11及之前版本存在一個反序列化漏洞。大多數Dubbo使用者預設使用Hessian2序列化/反序列化協定,在Hessian捕捉到異常時,會登出使用者的一些資訊,這可能導致遠端命令執行。
4 影響版本
5 修復建議
通用修補建議
根據影響版本中的資訊,排查並升級到安全版本。下載連結:
6 時間線
2022-01-09 Apache官方釋出通告
2022-01-14 360CERT釋出通告