Telnet handler遠程代碼執行漏洞,惡意攻擊者可能通過Telnet介面構造相關請求進行攻擊。
漏洞描述
Apache Dubbo主服務連接埠也可用於訪問Telnet Handler,其中Invoke Handler遠程代碼存在執行漏洞,惡意攻擊者可能通過Telnet介面的Invoke Handler構造相關請求進行攻擊。
漏洞評級
中
影響範圍
- 使用Dubbo 2.5.x版本的所有使用者。
- 使用Dubbo 2.6.10之前版本的所有使用者。
- 使用Dubbo 2.7.10之前版本的所有使用者。
安全建議
您可以升級Dubbo版本,也可以配置參數,規避該漏洞。
- 升級Dubbo版本:
- 使用Dubbo 2.5.x的使用者,請升級到Dubbo 2.6.10.1或Dubbo 2.7.12。
- 使用Dubbo 2.6.x的使用者,請升級到Dubbo 2.6.10.1或Dubbo 2.7.12。
- 使用Dubbo 2.7.x的使用者,請升級到Dubbo 2.7.12。
- 在應用程式的設定檔(例如application.properties)中配置
dubbo.provider.telnet=exit關閉Telnet的相關服務功能。