このトピックでは、Apache Dubbo セキュリティ脆弱性 CVE-2021-36162 の原因と、この脆弱性への対処方法について説明します。
脆弱性の説明
Apache Dubbo では、さまざまなルールを発行することで、構成またはルーティングを上書きできます。ルールは、ZooKeeper や Nacos などの構成センターにロードされ、コンシューマーがリクエストを行う際に取得されるため、コンシューマーは有効なエンドポイントを見つけることができます。
YAML ルールを解析する場合、SnakeYAML ライブラリを使用してルールをロードできます。デフォルトでは、これらのルールにより、任意のコンストラクターへの呼び出しが可能になります。構成センターへの権限が付与されている攻撃者は、ルールを改ざんする可能性があります。レジストリから改ざんされたルールを読み取ると、リモートコード実行 ( RCE ) 攻撃を受ける可能性があります。
脆弱性の重大度
中
影響を受けるユーザー
- Dubbo 2.7.0 から 2.7.12 を使用しているすべてのユーザー。
- Dubbo 3.0.0 から 3.0.1 を使用しているすべてのユーザー。
- Dubbo Admin を使用しているすべてのユーザー。
修正
使用している既存のバージョンに基づいて、Dubbo を指定されたバージョンに更新します。
- Dubbo 2.7.x を使用している場合は、Dubbo を 2.7.13 に更新します。
- Dubbo 3.x を使用している場合は、Dubbo を 3.0.2 に更新します。
- Dubbo Admin を使用している場合は、Dubbo Admin を最新バージョンに更新します。