棱镜七彩安全预警
SAFETY WARNING
近日网上有关于开源项目Apache Dubbo 存在反序列化漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
Apache Dubbo 是一款 RPC 服务开发框架,用于解决微服务架构下的服务治理与通信问题,官方提供了 Java、Golang 等多语言 SDK 实现。使用 Dubbo 开发的微服务原生具备相互之间的远程地址发现与通信能力, 利用 Dubbo 提供的丰富服务治理特性,可以实现诸如服务发现、负载均衡、流量调度等服务治理诉求。Dubbo 被设计为高度可扩展,用户可以方便地实现流量拦截、选址的各种定制逻辑。
项目主页
代码托管地址
https://github.com/apache/dubbo
CVE编号
CVE-2023-23638
漏洞情况
Apache Dubbo 是一款 RPC 服务开发框架,用于解决微服务架构下的服务治理与通信问题,官方提供了 Java、Golang 等多语言 SDK 实现。该项目受影响版本存在反序列化漏洞,由于Dubbo在序列化时检查不够全面,当攻击者可访问到dubbo服务时,可通过构造恶意请求绕过检查触发反序列化,执行恶意代码。
受影响的版本
org.apache.dubbo:dubbo-common@[3.0.0, 3.0.14)
org.apache.dubbo:dubbo-qos@[3.1.0, 3.1.6)
org.apache.dubbo:dubbo-common@[2.7.0, 2.7.22)
修复方案
将组件 org.apache.dubbo:dubbo-qos 升级至 3.1.6 及以上版本
将组件 org.apache.dubbo:dubbo-common 升级至 2.7.22 及以上版本
链接地址:
https://cn.dubbo.apache.org/zh-cn/overview/mannual/java-sdk/advanced-features-and-usage/security/class-check/
https://github.com/apache/dubbo/commit/6e5c1f8665216ccda4b2eb8c0465882efe62dd61
https://github.com/apache/dubbo/commit/ce3b0e285a463b566a9d685049201bfaf526c8ac#diff-fa4e0fb5d923710d8f070b478addd5e3638e101fdf9a3e32a855f429f90eed09
https://github.com/apache/dubbo/commit/4f664f0a3d338673f4b554230345b89c580bccbb
棱镜七彩作为国内专业开源成分管理及威胁情报服务的创新型科技企业,现全新推出柒巧板平台,免费提供一站式开源安全合规检测与开源测评服务,平台聚焦国内最主流的开源软件发展方向,助力开源行业安全与合规。更多讯息欢迎访问:https://spdx.cn/
柒巧板说
点击底部 “ 阅读原文 ” ,免费查看更多安全漏洞信息。
