【漏洞通告】Apache Dubbo多个漏洞安全通告
2023-12-18 20:30:2 Author: mp.weixin.qq.com(查看原文) 阅读量:11 收藏

漏洞名称:

Apache Dubbo多个漏洞安全通告

组件名称:

Apache Dubbo

安全公告链接:

https://lists.apache.org/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77

https://lists.apache.org/thread/zw53nxrkrfswmk9n3sfwxmcj7x030nmo

官方解决方案:

已发布

漏洞分析

组件介绍

Apache Dubbo是一款微服务框架,为大规模微服务实践提供高性能RPC通信、流量治理、可观测性等解决方案。

漏洞描述

近日,深信服安全团队监测到一则Apache Dubbo官方发布安全补丁的通告,共修复了2个安全漏洞,其中包含2个高危漏洞的信息。

序号

漏洞名称

影响版本

严重等级

1

Apache Dubbo 反序列化漏洞(CVE-2023-46279)

Apache Dubbo = 3.1.5

高危

2

Apache Dubbo 反序列化漏洞(CVE-2023-29234)

Apache Dubbo 3.2.x ≤ 3.2.4

Apache Dubbo 3.1.x ≤3.1.10

高危

高危漏洞描述

1.Apache Dubbo 反序列化漏洞(CVE-2023-46279)

Apache Dubbo中存在反序列化漏洞,攻击者利用该漏洞执行反序列化恶意代码,导致服务器失陷。

2.Apache Dubbo 反序列化漏洞(CVE-2023-29234)

Apache Dubbo中存在反序列化漏洞,攻击者利用该漏洞执行反序列化恶意代码,导致服务器失陷。

影响范围

Apache Dubbo 反序列化漏洞 (CVE-2023-46279):

Apache Dubbo = 3.1.5

Apache Dubbo 反序列化漏洞 (CVE-2023-29234):

Apache Dubbo 3.2.x ≤ 3.2.4

Apache Dubbo 3.1.x  ≤ 3.1.10

解决方案

修复建议

1.如何检测组件系统版本

(1)打开命令行或终端窗口。

(2)在窗口中输入以下命令:

mvn dependency:tree | grep dubbo

(3)该命令将列出所有与Dubbo相关的依赖项,包括版本号。

官方修复建议

官方已有可更新版本,建议受影响用户升级至最新版本。https://github.com/apache/dubbo/releases

参考链接

https://lists.apache.org/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77

https://lists.apache.org/thread/zw53nxrkrfswmk9n3sfwxmcj7x030nmo

时间轴

2023/12/18

深瞳漏洞实验室监测到Apache Dubbo官方发布安全通告。

2023/12/18

深瞳漏洞实验室发布漏洞通告。

点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。


文章来源: https://mp.weixin.qq.com/s?__biz=Mzg2NjgzNjA5NQ==&mid=2247521703&idx=1&sn=f4c0f591f75ce84f22139d03bed9d04b&chksm=ce461eb7f93197a1dc03cc0cca48184583760e98410470835933231779f467f49a73ab78a50d&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh