专栏名称: 深信服千里目安全实验室
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
目录
相关文章推荐
杭州本地宝  ·  杭州元宵节11个赏花灯好去处!赏花灯、猜灯谜 ... ·  2 天前  
天天看余杭  ·  价格瞬间暴跌!刚刚,杭州姑娘大喜:3天立省7 ... ·  3 天前  
天天看余杭  ·  价格瞬间暴跌!刚刚,杭州姑娘大喜:3天立省7 ... ·  3 天前  
杭州本地宝  ·  抓紧自查!在杭州居住证过期会很麻烦! ·  3 天前  
杭州本地宝  ·  从杭州出发,卧铺一晚可以到达这些城市!省钱又好玩! ·  3 天前  
余杭发布  ·  2298亿元!余杭何以全省第一? ·  4 天前  
51好读  ›  专栏  ›  深信服千里目安全实验室

【漏洞通告】Apache Dubbo 远程代码执行漏洞 CVE-2021-30179

深信服千里目安全实验室  · 公众号  ·  · 2021-06-01 22:30

正文

漏洞名称 : Apache Dubbo 远程代码执行漏洞 CVE-2021-30179

组件名称 : Apache Dubbo

影响范围 :

Apache Dubbo 2.7.0 - 2.7.9

Apache Dubbo 2.6.0 - 2.6.9

Apache Dubbo 2.5.x(官方不再维护)

漏洞类型 : 远程代码执行

利用条件 :

1、用户认证:不需要用户认证

2、触发方式:远程

综合评价 :

:未知,无需授权即可远程代码执行。

:中危,能造成远程代码执行。


漏洞分析


1 组件 介绍

Apache Dubbo是一款高性能、轻量级的开源java RPC分布式服务框架。核心功能有面向接口的远程过程调用、集群容错和负载均衡、服务自动注册与发现。其特点主要在以下几个方面。使用分层的架构模式,使得各个层次之间实现最大限度的解耦。将服务抽象为服务提供者与服务消费者两个角色。


2 漏洞描述

2021年5月31日,深信服安全团队监测到一则Apache Dubbo组件存在远程代码执行漏洞的信息,漏洞编号:CVE-2021-30179,漏洞威胁等级:中危。


该漏洞是由于Dubbo在通用过滤器中未对传入的反序列化数据进行严格的过滤,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行远程代码攻击,最终接管服务器。


影响范围


Apache Dubbo 作为一款高性能、轻量级的开源 Java 服务框架,当前可能受漏洞影响的资产广泛分布于世界各地,国内主要集中在广东、江苏、河北等省份地区。


目前受影响的Apache Dubbo版本:

Apache Dubbo 2.7.0 - 2.7.9

Apache Dubbo 2.6.0 - 2.6.9

Apache Dubbo 2.5.x(官方不再维护)


解决方案


1 如何检测组件版本

搭建Apache Dubbo本地Maven管理环境,查询配置文件pom.xmlRevision字段,该字段为Apache Dubbo对应版本号:


2 官方修复建议

当前Apache Dubbo官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://github.com/apache/dubbo/releases


时间轴








请到「今天看啥」查看全文


推荐文章
杭州本地宝  ·  杭州元宵节11个赏花灯好去处!赏花灯、猜灯谜、巡游、市集……
2 天前
天天看余杭  ·  价格瞬间暴跌!刚刚,杭州姑娘大喜:3天立省7000元!很多人忍不住了......
3 天前
天天看余杭  ·  价格瞬间暴跌!刚刚,杭州姑娘大喜:3天立省7000元!很多人忍不住了......
3 天前
杭州本地宝  ·  抓紧自查!在杭州居住证过期会很麻烦!
3 天前
杭州本地宝  ·  从杭州出发,卧铺一晚可以到达这些城市!省钱又好玩!
3 天前
余杭发布  ·  2298亿元!余杭何以全省第一?
4 天前
陆琪  ·  抱歉,我不愿再陪你吃苦了
7 年前
圈内扒爷  ·  【八卦说】谢安琪产女,她老公还怼网友!撕逼女星为何复合,选秀预定签约,gangL男星!
7 年前
医械圈的哪点事  ·  ISO医械新规5月1日起生效, CFDA引入国际标准
7 年前
全球局势战略纵横  ·  美国对华博弈节节败退,决不能再丢此要地!
7 年前
楼市时评  ·  二手房职业投资人套路大解密!买对资产轻松翻倍,瞎买可能血本无归!
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!