Telnet ハンドラーにリモートコード実行(RCE)の脆弱性が存在します。攻撃者は、この脆弱性を悪用して、Telnet インターフェースを使用して悪意のあるリクエストを作成および送信する可能性があります。
脆弱性の説明
Apache Dubbo(略称 Dubbo)のプライマリサービスポートを使用して、Telnet ハンドラーにアクセスできます。 Telnet インターフェースの Invoke ハンドラーに RCE 脆弱性が存在します。攻撃者は、Telnet インターフェースの Invoke ハンドラーを使用して、悪意のあるリクエストを作成および送信する可能性があります。
脆弱性の重大度
中
影響を受けるユーザー
- Dubbo 2.5.x を使用しているすべてのユーザー
- 2.6.10 より前の Dubbo 2.6.x バージョンを使用しているすべてのユーザー
- 2.7.10 より前の Dubbo 2.7.x バージョンを使用しているすべてのユーザー
修正
この脆弱性を防ぐために、Dubbo を更新するか、アプリケーションの設定ファイルを変更できます。
- Dubbo を更新します。
- Dubbo 2.5.x を使用している場合は、Dubbo を 2.6.10.1 または 2.7.12 に更新します。
- Dubbo 2.6.x を使用している場合は、Dubbo を 2.6.10.1 または 2.7.12 に更新します。
- Dubbo 2.7.x を使用している場合は、Dubbo を 2.7.12 に更新します。
- アプリケーションの
dubbo.provider.telnet=exit // telnetコマンドを終了します。application.properties などの設定ファイルで を設定して、Telnet を無効にします。