大工网安告[2022]042
一、情况分析
1.1漏洞背景
Apache Dubbo是一款阿里巴巴开源的高性能RPC分布式服务框架(SOA),具有RPC通信与微服务治理两大关键能力,其中Java、Golang版本的Dubbo是当前稳定性、活跃度最好的版本,其他多语言客户端正在持续建设中。采用Dubbo的企业涵盖互联网、传统IT、金融、生产制造业多个领域,一些典型用户包括阿里巴巴、携程、工商银行、中国人寿、海尔、金蝶等。近日,新华三攻防实验室威胁预警团队监测到Apache Dubbo官方发布了安全更新公告,修复了Apache Dubbo中的一个反序列化漏洞(CVE-2022-39198),新华三攻防实验室建议用户更新Apache Dubbo到最新的安全版本避免遭受攻击。严重等级:中危
1.2漏洞详情
该漏洞是由于Dubbo Hessian-Lite 3.2.12及之前版本中存在反序列化漏洞,恶意攻击者成功利用此漏洞可在目标服务器上执行任意代码。
二、影响范围
Apache Dubbo 2.7.x版本:<= 2.7.17
Apache Dubbo 3.0.x版本:<= 3.0.11
Apache Dubbo 3.1.x版本:<= 3.1.0
三、处置建议
目前官方已发布漏洞修复补丁,请受影响的用户及时升级Dubbo hessian-lite版本>=3.2.13;或者更新Apace Dubbo到最新安全版本。
Apache Dubbo下载链接:https://github.com/apache/dubbo/tags
Dubbo hessian-lite下载链接:https://github.com/apache/dubbo-hessian-lite/releases
参考链接
https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk
https://github.com/apache/dubbo
https://github.com/apache/dubbo-hessian-lite