漏洞名称:
Apache Dubbo多个漏洞安全通告
组件名称:
Apache Dubbo
安全公告链接:
https://lists.apache.org/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77
https://lists.apache.org/thread/zw53nxrkrfswmk9n3sfwxmcj7x030nmo
官方解决方案:
已发布
漏洞分析
组件介绍
Apache Dubbo是一款微服务框架,为大规模微服务实践提供高性能RPC通信、流量治理、可观测性等解决方案。
漏洞描述
近日,深信服安全团队监测到一则Apache Dubbo官方发布安全补丁的通告,共修复了2个安全漏洞,其中包含2个高危漏洞的信息。
序号 | 漏洞名称 | 影响版本 | 严重等级 |
1 | Apache Dubbo 反序列化漏洞(CVE-2023-46279) | Apache Dubbo = 3.1.5 | 高危 |
2 | Apache Dubbo 反序列化漏洞(CVE-2023-29234) | Apache Dubbo 3.2.x ≤ 3.2.4 Apache Dubbo 3.1.x ≤3.1.10 | 高危 |
高危漏洞描述
1.Apache Dubbo 反序列化漏洞(CVE-2023-46279)
Apache Dubbo中存在反序列化漏洞,攻击者利用该漏洞执行反序列化恶意代码,导致服务器失陷。
2.Apache Dubbo 反序列化漏洞(CVE-2023-29234)
Apache Dubbo中存在反序列化漏洞,攻击者利用该漏洞执行反序列化恶意代码,导致服务器失陷。
影响范围
Apache Dubbo 反序列化漏洞 (CVE-2023-46279):
Apache Dubbo = 3.1.5
Apache Dubbo 反序列化漏洞 (CVE-2023-29234):
Apache Dubbo 3.2.x ≤ 3.2.4
Apache Dubbo 3.1.x ≤ 3.1.10
解决方案
修复建议
1.如何检测组件系统版本
(1)打开命令行或终端窗口。
(2)在窗口中输入以下命令:
mvn dependency:tree | grep dubbo
(3)该命令将列出所有与Dubbo相关的依赖项,包括版本号。
官方修复建议
官方已有可更新版本,建议受影响用户升级至最新版本。https://github.com/apache/dubbo/releases
参考链接
https://lists.apache.org/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77
https://lists.apache.org/thread/zw53nxrkrfswmk9n3sfwxmcj7x030nmo
时间轴
2023/12/18
深瞳漏洞实验室监测到Apache Dubbo官方发布安全通告。
2023/12/18
深瞳漏洞实验室发布漏洞通告。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
如有侵权请联系:admin#unsafe.sh