Nashorn スクリプトには、リモートコード実行(RCE)の脆弱性があります。設定センターへのアクセス権を持つ攻撃者は、この脆弱性を悪用して悪意のある Nashorn スクリプトをアップロードし、RCE 攻撃を開始する可能性があります。
脆弱性の説明
Apache Dubbo(略称 Dubbo)は、スクリプトルーティングルールをサポートしています。これにより、コンシューマーはリクエストを有効な宛先サーバーにルーティングできます。ルールは、ZooKeeper や Nacos などの設定センターにロードされ、コンシューマーがリクエストを行う際に取得されるため、コンシューマーは有効なエンドポイントを見つけることができます。
コンシューマーはこれらのルールを解析する際に、JRE ScriptEngineManager クラスを使用して ScriptEngine をロードし、Nashorn スクリプトによって提供されるルールを実行します。デフォルトでは、ルールは任意の Java コードの実行を有効にします。
ZooKeeper や Nacos などの設定センターへのアクセス権を持つ攻撃者は、スクリプトルールファイルを改ざんする可能性があります。このようにして、攻撃者は、ルールがコンシューマーによって取得されたときに RCE 攻撃を開始できます。
脆弱性の重大度
低
影響を受けるユーザー
- Dubbo 2.5.x を使用するすべてのユーザー
- 2.6.10 より前の Dubbo 2.6.x バージョンを使用するすべてのユーザー
- 2.7.10 より前の Dubbo 2.7.x バージョンを使用するすべてのユーザー
修正
使用している既存のバージョンに基づいて、Dubbo を指定されたバージョンに更新します。
- Dubbo 2.5.x を使用している場合は、Dubbo を 2.6.10.1 または 2.7.12 に更新します。
- Dubbo 2.6.x を使用している場合は、Dubbo を 2.6.10.1 または 2.7.12 に更新します。
- Dubbo 2.7.x を使用している場合は、Dubbo を 2.7.12 に更新します。