《Dubbo 实现原理与源码解析 —— 精品合集》 《Netty 实现原理与源码解析 —— 精品合集》
《Spring 实现原理与源码解析 —— 精品合集》 《MyBatis 实现原理与源码解析 —— 精品合集》
《Spring MVC 实现原理与源码解析 —— 精品合集》 《数据库实体设计合集》
《Spring Boot 实现原理与源码解析 —— 精品合集》 《Java 面试题 + Java 学习指南》

摘要: 原创出处 www.oschina.net/news/178522 「360CERT」欢迎转载,保留摘要,谢谢!


🙂🙂🙂关注**微信公众号:【芋道源码】**有福利:

  1. RocketMQ / MyCAT / Sharding-JDBC 所有源码分析文章列表
  2. RocketMQ / MyCAT / Sharding-JDBC 中文注释源码 GitHub 地址
  3. 您对于源码的疑问每条留言将得到认真回复。甚至不知道如何读源码也可以请教噢
  4. 新的源码解析文章实时收到通知。每周更新一篇左右
  5. 认真的源码交流微信群。

作者:360CERT, 图文编辑:xj

报告编号:B6-2022-011403

报告来源:360CERT

报告作者:360CERT

更新日期:2022-01-14

1 漏洞简述

2022年01月14日,360CERT监测发现Apache官方 发布了Apache Dubbo hessian-lite的风险通告,漏洞编号为CVE-2021-43297,漏洞等级:高危,漏洞评分:7.5

Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。

对此,360CERT建议广大用户及时将Apache Dubbo升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

2 风险等级

360CERT对该漏洞的评定结果如下

3 漏洞详情

CVE-2021-43297: Apache Dubbo代码执行漏洞

CVE: CVE-2021-43297

组件: Apache Dubbo

漏洞类型: 反序列化

影响: 代码执行

简述: Apache Dubbo hessian-lite 3.2.11及之前版本存在一个反序列化漏洞。大多数Dubbo用户默认使用Hessian2序列化/反序列化协议,在Hessian捕捉到异常时,会注销用户的一些信息,这可能导致远程命令执行。

4 影响版本

5 修复建议

通用修补建议

根据影响版本中的信息,排查并升级到安全版本。下载链接:https://github.com/apache/dubbo/releases

6 时间线

2022-01-09 Apache官方发布通告

2022-01-14 360CERT发布通告

7 参考链接

https://lists.apache.org/thread/1mszxrvp90y01xob56yp002939c7hlww

文章目录
  1. 1. 1 漏洞简述
  2. 2. 2 风险等级
  3. 3. 3 漏洞详情
    1. 3.1. CVE-2021-43297: Apache Dubbo代码执行漏洞
  4. 4. 4 影响版本
  5. 5. 5 修复建议
    1. 5.1. 通用修补建议
  6. 6. 6 时间线
  7. 7. 7 参考链接