【Dubbo安全漏洞通告】-CVE-2021-43297-RCE攻击风险
本文介绍Dubbo Hessian在序列化异常时存在的RCE攻击风险以及如何解决。
漏洞描述
Dubbo Hessian-Lite 3.2.11及之前版本中存在潜在RCE攻击风险。Hessian-Lite在遇到序列化异常时会输出相关信息,这可能导致触发某些恶意定制的Bean的toString方法,从而引发RCE攻击。
漏洞评级
高
影响范围
- 使用Dubbo 2.6.0到2.6.11的所有用户。
- 使用Dubbo 2.7.0到2.7.14的所有用户。
- 使用Dubbo 3.0.0到3.0.4的所有用户
安全建议
请根据您使用的Dubbo版本,升级到指定版本。
- 使用Dubbo 2.6.x的用户,请升级到2.6.12。
- 使用Dubbo 2.7.x的用户,请升级到2.7.15。
- 使用Dubbo 3.0.x的用户,请升级到3.0.5
如果您的应用无法及时修复和验证,可以立即开通并使用阿里云ARMS RASP防护能力, 确保您的应用免受攻击。相关内容,请参见应用安全。
1、所有文章未经授权禁止转载、摘编、复制或建立镜像,如有违反,追究法律责任。
2、本站文章部分来源注册用户发布或互联网收集而来,若有侵权,请邮件联系作者。
邮箱地址:wtao219@qq.com
2、本站文章部分来源注册用户发布或互联网收集而来,若有侵权,请邮件联系作者。
邮箱地址:wtao219@qq.com
THE END
二维码