Apache Dubbo 高危漏洞通告
前沿技术早知道,弯道超车有希望
积累超车资本,从关注DD开始
作者:360CERT, 图文编辑:xj
来源:https://www.oschina.net/news/178522
报告编号:B6-2022-011403
报告来源:360CERT
报告作者:360CERT
更新日期:2022-01-14
1 漏洞简述
2022年01月14日,360CERT监测发现Apache
官方 发布了Apache Dubbo hessian-lite
的风险通告,漏洞编号为CVE-2021-43297
,漏洞等级:高危
,漏洞评分:7.5
。
Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
对此,360CERT建议广大用户及时将Apache Dubbo
升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
2 风险等级
360CERT对该漏洞的评定结果如下
3 漏洞详情
CVE-2021-43297: Apache Dubbo代码执行漏洞
CVE: CVE-2021-43297
组件: Apache Dubbo
漏洞类型: 反序列化
影响: 代码执行
简述: Apache Dubbo hessian-lite 3.2.11及之前版本存在一个反序列化漏洞。大多数Dubbo用户默认使用Hessian2序列化/反序列化协议,在Hessian捕捉到异常时,会注销用户的一些信息,这可能导致远程命令执行。
4 影响版本
5 修复建议
通用修补建议
根据影响版本
中的信息,排查并升级到安全版本
。下载链接:https://github.com/apache/dubbo/releases
6 时间线
2022-01-09 Apache官方发布通告
2022-01-14 360CERT发布通告
7 参考链接
https://lists.apache.org/thread/1mszxrvp90y01xob56yp002939c7hlww
对了,我们创建了一个高质量的技术交流群,与优秀的人在一起,自己也会优秀起来,赶紧点击加群,享受一起成长的快乐。
推荐阅读
好几天没戴工牌坐地铁了,受不了!
裸辞之后自己在家接单是什么体验?
Java为什么冷启动开销大?我们又该如何解决?
前沿技术早知道,弯道超车有希望
积累超车资本,从关注DD开始
点击阅读原文,送你免费Spring Boot教程!
Apache Dubbo 高危漏洞通告相关推荐
- 腾讯服务器漏洞修复,腾讯安全玄武实验室提交Apache Dubbo高危漏洞,官方已发布修复版本...
原标题:腾讯安全玄武实验室提交Apache Dubbo高危漏洞,官方已发布修复版本 6月23号,开源框架Apache Dubbo披露了一项默认反序列化远程代码执行漏洞(CVE-2020-1948)和相 ...
- 【高危漏洞通告】Spring Framework 远程代码执行 (CVE-2022-22965)
[高危漏洞通告]Spring Framework 远程代码执行 (CVE-2022-22965)漏洞通告 一. 漏洞情况 Spring 框架(Framework)是一个开源的轻量级 J2EE 应 ...
- 2020-12 补丁日: 微软多个高危漏洞通告
报告编号:B6-2020-120902 报告来源:360CERT 报告作者:360CERT 更新日期:2020-12-09 0x01 漏洞简述 2020年12月09日,360CERT监测发现 微软官方 ...
- 2021-01 补丁日: 微软多个高危漏洞通告
报告编号:B6-2021-011302 报告来源:360CERT 报告作者:360CERT 更新日期:2021-01-13 0x01事件简述 2021年01月13日,360CERT监测发现发布了的风险 ...
- Foxit多个高危漏洞通告
Foxit多个高危漏洞通告 360-CERT [360CERT](javascript:void(0)
- 【漏洞通告】微软5月安全更新多个产品高危漏洞通告
[漏洞通告]微软5月安全更新多个产品高危漏洞通告 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)
- Apache Tomcat 拒绝服务漏洞通告
作者 | 360CERT 来源 | https://www.oschina.net/news/164556 报告编号:B6-2021-101501 报告来源:360CERT 报告作者:360CERT ...
- Dubbo 高危漏洞!原来都是反序列化惹得祸
前言 这周收到外部合作同事推送的一篇文章,[漏洞通告]Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)通告. 按照文章披露的漏洞影响范围,可以说是当 ...
- 黑哥点评|关于 Apache Log4j2 高危漏洞的思考与建议
2021年12月8日,知道创宇404积极防御实验室通过创宇安全智脑监测到Apache Log4j2远程代码执行高危漏洞(CVE-2021-44228)被攻击者利用,且该漏洞细节已经被公开扩散. 经专家 ...
最新文章
- 关于minikube使用HTTP_PROXY拉取镜像后取消代理的操作过程记录
- 分布式理论(七): 一致性协议之 ZAB
- C#通用类库--短信猫操作类1(原始AT命令)
- 苹果有意参与角逐奥斯卡 欲投资6部电影!
- 如何在三层交换机上实现跨VLAN 的DHCP配置
- 今天我们谈一下HTML标签中的map标签的用法和使用场景
- ubuntu16.04环境下使用ros运行ORB-SLAM3
- coc java_基于REST+CoC构建Java Web快速开发框架的架构思路
- 游戏程序开发的工作主要包括哪些方面
- VC++消息钩子编程
- 1023组成最小数(20分) - 用不到20行代码破解20分的题目
- FLASH学习(一)
- 51单片机蜂鸣器演奏《我和我的祖国》
- VUE基础篇Part5(内置指令)
- 2007年12月25日至2008年1月1日百宝箱游戏下载排行榜
- 根据周次显示日期范围_刚刚!总投资34亿元!京东方投建12英寸OLED微显示器件生产线...
- 测试服务器端口是否打开的几种办法
- hello树先生经典台词
- 计算机无法搜索到打印机驱动,电脑连接打印机需要装什么驱动(电脑搜不到打印机设备)...
- matlab共阳极二极管,三引脚SOT-323封装的共阳极稳压二极管详情