点击上方“芋道源码”,选择“设为星标”
管她前浪,还是后浪?
能浪的浪,才是好浪!
每天 10:33 更新文章,每天掉亿点点头发...
源码精品专栏
- 原创 | Java 2021 超神之路,很肝~
- 中文详细注释的开源项目
- RPC 框架 Dubbo 源码解析
- 网络应用框架 Netty 源码解析
- 消息中间件 RocketMQ 源码解析
- 数据库中间件 Sharding-JDBC 和 MyCAT 源码解析
- 作业调度中间件 Elastic-Job 源码解析
- 分布式事务中间件 TCC-Transaction 源码解析
- Eureka 和 Hystrix 源码解析
- Java 并发源码
来源:www.oschina.net/news/178522
- 1 漏洞简述
- 2 风险等级
- 3 漏洞详情
- CVE-2021-43297: Apache Dubbo代码执行漏洞
- 4 影响版本
- 5 修复建议
- 通用修补建议
- 6 时间线
- 7 参考链接
作者:360CERT, 图文编辑:xj
报告编号:B6-2022-011403
报告来源:360CERT
报告作者:360CERT
更新日期:2022-01-14
1 漏洞简述
2022年01月14日,360CERT监测发现Apache官方 发布了Apache Dubbo hessian-lite的风险通告,漏洞编号为CVE-2021-43297,漏洞等级:高危,漏洞评分:7.5。
Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
对此,360CERT建议广大用户及时将Apache Dubbo升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
“推荐下自己做的 Spring Boot 的实战项目: https://github.com/YunaiV/ruoyi-vue-pro
2 风险等级
360CERT对该漏洞的评定结果如下
“推荐下自己做的 Spring Cloud 的实战项目: https://github.com/YunaiV/onemall
3 漏洞详情
CVE-2021-43297: Apache Dubbo代码执行漏洞
CVE: CVE-2021-43297
组件: Apache Dubbo
漏洞类型: 反序列化
影响: 代码执行
简述: Apache Dubbo hessian-lite 3.2.11及之前版本存在一个反序列化漏洞。大多数Dubbo用户默认使用Hessian2序列化/反序列化协议,在Hessian捕捉到异常时,会注销用户的一些信息,这可能导致远程命令执行。
4 影响版本
5 修复建议
通用修补建议
根据影响版本中的信息,排查并升级到安全版本。下载链接:https://github.com/apache/dubbo/releases
6 时间线
2022-01-09 Apache官方发布通告
2022-01-14 360CERT发布通告
7 参考链接
https://lists.apache.org/thread/1mszxrvp90y01xob56yp002939c7hlww
欢迎加入我的知识星球,一起探讨架构,交流源码。加入方式,长按下方二维码噢:
已在知识星球更新源码解析如下:
最近更新《芋道 SpringBoot 2.X 入门》系列,已经 101 余篇,覆盖了 MyBatis、Redis、MongoDB、ES、分库分表、读写分离、SpringMVC、Webflux、权限、WebSocket、Dubbo、RabbitMQ、RocketMQ、Kafka、性能测试等等内容。
提供近 3W 行代码的 SpringBoot 示例,以及超 4W 行代码的电商微服务项目。
获取方式:点“在看”,关注公众号并回复 666 领取,更多内容陆续奉上。
代码语言:javascript复制文章有帮助的话,在看,转发吧。谢谢支持哟 (*^__^*)
