首页 > 安全公告 > 正文

关于Apache Dubbo Hession反序列化漏洞(CVE-2022-39198)的安全公告

来源:时间:2022-10-27点击数:

大工网安告[2022]042

一、情况分析

1.1漏洞背景

Apache Dubbo是一款阿里巴巴开源的高性能RPC分布式服务框架(SOA),具有RPC通信与微服务治理两大关键能力,其中Java、Golang版本的Dubbo是当前稳定性、活跃度最好的版本,其他多语言客户端正在持续建设中。采用Dubbo的企业涵盖互联网、传统IT、金融、生产制造业多个领域,一些典型用户包括阿里巴巴、携程、工商银行、中国人寿、海尔、金蝶等。近日,新华三攻防实验室威胁预警团队监测到Apache Dubbo官方发布了安全更新公告,修复了Apache Dubbo中的一个反序列化漏洞(CVE-2022-39198),新华三攻防实验室建议用户更新Apache Dubbo到最新的安全版本避免遭受攻击。严重等级:中危

1.2漏洞详情

该漏洞是由于Dubbo Hessian-Lite 3.2.12及之前版本中存在反序列化漏洞,恶意攻击者成功利用此漏洞可在目标服务器上执行任意代码。

二、影响范围

Apache Dubbo 2.7.x版本:<= 2.7.17

Apache Dubbo 3.0.x版本:<= 3.0.11

Apache Dubbo 3.1.x版本:<= 3.1.0

三、处置建议

目前官方已发布漏洞修复补丁,请受影响的用户及时升级Dubbo hessian-lite版本>=3.2.13;或者更新Apace Dubbo到最新安全版本。

Apache Dubbo下载链接:https://github.com/apache/dubbo/tags

Dubbo hessian-lite下载链接:https://github.com/apache/dubbo-hessian-lite/releases

参考链接

https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk

https://github.com/apache/dubbo

https://github.com/apache/dubbo-hessian-lite


地址:大连市甘井子区凌工路2号,大连理工大学 邮编:116024

电话:0411-84708645 copyright2013 大连理工大学网络与信息化中心