网络安全
当前位置: 首页>> 网络安全>> 正文
关于Apache Dubbo远程代码执行漏洞(CVE-2021-43297)的预警提示
陆晔 发布日期:2022-01-21

一、漏洞详情

Apache Dubbo是一款高性能、轻量级的开源服务框架。

Apache Dubbo发布安全公告,Dubbo hessian-lite 3.2.11及之前版本中存在反序列化漏洞(CVE-2021-43297),该漏洞能够导致远程执行任意代码。大多数Dubbo用户使用Hessian2作为默认的序列化/反序列化协议,在Hessian捕捉到异常时,Hessian会注销用户的一些信息,这可能导致远程命令执行。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Apache Dubbo 2.6.x < 2.6.12

Apache Dubbo 2.7.x < 2.7.15

Apache Dubbo 3.0.x < 3.0.5

三、修复建议

目前此漏洞已经修复,建议受影响用户及时升级更新到以下版本:

Dubbo 2.6.x:升级到2.6.12

Dubbo 2.7.x:升级到2.7.15

Dubbo 3.0.x:升级到3.0.5

下载链接:https://dubbo.apache.org/en/blog/2020/05/18/past-releases/

技术支持:信息化建设管理处

校内备案号:JW备170019

地址:江苏省无锡市蠡湖大道1800号

邮编:214122

联系电话:0510-85326800(26800),85912032(82032)(网络报修)

服务邮箱:netser@jiangnan.edu.cn

Baidu
map