【漏洞详情】

Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。2021年6月24日，国外安全研究人员披露Apache Dubbo多个高危漏洞详情：

CVE-2021-25641: Apache Dubbo Hessian2 协议反序列化漏洞

攻击者可利用其他协议绕过Hessian2黑名单造成反序列化。

CVE-2021-30179：Apache Dubbo Generic filter 远程代码执行漏洞

Apache Dubbo Generic filter存在过滤不严，攻击者可构造恶意请求调用恶意方法从而造成远程代码执行。

CVE-2021-32824：Apache Dubbo Telnet handler 远程代码执行漏洞

Apache Dubbo Telnet handler在处理相关请求时，允许攻击者调用恶意方法从而造成远程代码执行。

CVE-2021-30180：Apache Dubbo YAML 反序列化漏洞

Apache Dubbo多处使用了yaml.load，从而造成了Yaml反序列化漏洞。

CVE-2021-30181：Apache Dubbo Nashorn 脚本远程代码执行漏洞

攻击者可构造恶意请求注入Nashorn脚本，造成远程代码执行。

平安云安全中心提醒有使用Apache Dubbo的用户尽快采取安全措施阻止漏洞攻击。

【风险评级】

高危

【影响范围】

Apache Dubbo < 2.7.10

Apache Dubbo < 2.6.10

【修复建议】

安全版本：

Apache Dubbo 2.7.10

Apache Dubbo 2.6.10

1、升级 Apache Dubbo 至安全版本；

2、设置 Apache Dubbo 相关端口仅对可信地址开放。

【参考链接】

https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/

https://s.tencent.com/research/bsafe/1327.html

特别提醒：修复漏洞前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2021年6月24日