大工网安告[2022]042

一、情况分析

1.1漏洞背景

Apache Dubbo是一款阿里巴巴开源的高性能RPC分布式服务框架（SOA），具有RPC通信与微服务治理两大关键能力，其中Java、Golang版本的Dubbo是当前稳定性、活跃度最好的版本，其他多语言客户端正在持续建设中。采用Dubbo的企业涵盖互联网、传统IT、金融、生产制造业多个领域，一些典型用户包括阿里巴巴、携程、工商银行、中国人寿、海尔、金蝶等。近日，新华三攻防实验室威胁预警团队监测到Apache Dubbo官方发布了安全更新公告，修复了Apache Dubbo中的一个反序列化漏洞(CVE-2022-39198)，新华三攻防实验室建议用户更新Apache Dubbo到最新的安全版本避免遭受攻击。严重等级：中危

1.2漏洞详情

该漏洞是由于Dubbo Hessian-Lite 3.2.12及之前版本中存在反序列化漏洞，恶意攻击者成功利用此漏洞可在目标服务器上执行任意代码。

二、影响范围

Apache Dubbo 2.7.x版本：<= 2.7.17

Apache Dubbo 3.0.x版本：<= 3.0.11

Apache Dubbo 3.1.x版本：<= 3.1.0

三、处置建议

目前官方已发布漏洞修复补丁，请受影响的用户及时升级Dubbo hessian-lite版本>=3.2.13；或者更新Apace Dubbo到最新安全版本。

Apache Dubbo下载链接：https://github.com/apache/dubbo/tags

Dubbo hessian-lite下载链接：https://github.com/apache/dubbo-hessian-lite/releases

参考链接

https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk

https://github.com/apache/dubbo

https://github.com/apache/dubbo-hessian-lite