一、漏洞详情
Apache Dubbo是一款高性能、轻量级的开源服务框架,提供了RPC通信与微服务处理两大关键能力。其组件Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,攻击者可利用该漏洞在目标系统未授权的情况下,构造恶意数据执行代码,远程执行攻击,最终可获取服务器最高权限。
二、受影响版本
Apache Dubbo hessian-lite <=3.2.1
Apache Dubbo 2.7.x <=2.7.17
Apache Dubbo 3.0.x <=3.0.11
Apache Dubbo 3.1.x <=3.1.0
三、修复方式
目前,Apache已发布修复了此漏洞的更新版本。如受影响,可通过下载官方的版本更新修复漏洞,Apache Dubbo下载地址是https://github.com/apache/dubbo/tags,Dubbo hessian-lite下载地址是https://github.com/apache/dubbo-hessian-lite/releases。
请各单位高度重视,及时排查梳理受影响情况,在确保安全的前提下修复漏洞、消除隐患。同时,加强安全监测,做好应急处置准备,发现突出情况要迅速处置并第一时间报告。
