Apache Dubbo多个反序列化漏洞安全风险通告
Apache Dubbo多个反序列化漏洞安全风险通告
奇安信 CERT 2023-12-18 17:04
●
点击↑蓝字关注我们,获取更多安全风险通告
|
漏洞概述 |
|||
|
漏洞名称 |
Apache Dubbo多个反序列化漏洞 |
||
|
漏洞编号 |
CVE-2023-29234、CVE-2023-46279 |
||
|
公开时间 |
2023-12-15 |
影响对象数量级 |
十万级 |
|
奇安信评级 |
高危 |
CVSS 评分 |
7.7、8.1 |
|
威胁类型 |
信息泄露、代码执行 |
利用可能性 |
中 |
|
POC状态 |
未公开 |
在野利用状态 |
未发现 |
|
EXP状态 |
未公开 |
技术细节状态 |
未公开 |
|
危害描述:攻击者可能利用此漏洞获取敏感信息或执行恶意代码。 |
|||
01
漏洞详情
>
>
>
>
影响组件
Apache Dubbo 是一款高性能、轻量级的开源 Java 服务框架。Apache Dubbo提供了六大核心能力:面向接口代理的高性能RPC调用,智能容错和负载均衡,服务自动注册和发现,高度可扩展能力,运行期流量调度,可视化的服务治理与运维。
>
>
>
>
漏洞描述
近日,奇安信CERT监测到Apache Dubbo发布新版本修复了Apache Dubbo 反序列化漏洞(CVE-2023-46279)与Apache Dubbo 反序列化漏洞(CVE-2023-29234)
,攻击者通过向系统发送恶意数据包利用这些漏洞,成功后可以读取敏感信息或执行恶意代码。
|
漏洞名称 |
漏洞描述 |
|
Apache Dubbo发布新版本修复了Apache Dubbo 反序列化漏洞(CVE-2023-46279) |
Apache Dubbo中存在反序列化漏洞,攻击者利用该漏洞可以绕过拒绝反序列化列表检查触发反序列化错误,最终泄露敏感信息或执行恶意代码。 |
|
Apache Dubbo 反序列化漏洞(CVE-2023-29234) |
Apache Dubbo中存在反序列化漏洞,攻击者可以通过向系统发生恶意数据包绕过反序列化检查,触发反序列化漏洞,泄露敏感信息或执行恶意代码。 |
鉴于此产品用量较大,建议客户尽快做好自查及防护。
02
影响范围
>
>
>
>
影响版本
Apache Dubbo 反序列化漏洞(CVE-2023-46279):
Apache Dubbo == 3.1.5
Apache Dubbo 反序列化漏洞(CVE-2023-29234):
Apache Dubbo 3.2.x <= 3.2.4
Apache Dubbo 3.1.x <= 3.1.10
>
>
>
>
其他受影响组件
无
03
处置建议
>
>
>
>
安全更新
目前官方已有可更新版本,建议受影响用户升级至最新版本。
https://github.com/apache/dubbo/releases
04
参考资料
[1]https://lists.apache.org/thread/zw53nxrkrfswmk9n3sfwxmcj7x030nmo
[2]https://lists.apache.org/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77
[3]https://github.com/apache/dubbo/releases
05
时间线
2023年12月18日,奇安信 CERT发布安全风险通告。
06
漏洞情报服务
奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务:
奇安信 CERT
致力于
第一时间为企业级用户提供权威漏洞情报和有效
解决方案。
点击↓阅读原文,到
ALHA威胁分析平台
订阅更多漏洞信息。