本文介紹CVE-2021-36162漏洞的原因以及如何解決。
漏洞描述
Apache Dubbo支援通過下發各種類型的規則來進行配置覆蓋或流量路由(在Dubbo中稱為路由)。這些規則被載入到配置中心(例如:ZooKeeper、Nacos等),並由客戶在發出請求時檢索,以便找到正確的端點。
在解析這些YAML規則時,Dubbo客戶將使用SnakeYAML庫載入規則。預設情況下,這些規則將允許調用任意建構函式。有權訪問configuration center的攻擊者將能夠惡意篡改這些規則,因此當使用者讀取到來自註冊中心的規則時,有可能遭受惡意規則的RCE攻擊。
漏洞評級
中
影響範圍
- 使用Dubbo 2.7.0到2.7.12的所有使用者。
- 使用Dubbo 3.0.0 to 3.0.1的所有使用者。
- 使用Dubbo-admin的所有使用者。
安全建議
請根據您使用的Dubbo版本,升級到指定版本。
- 使用Dubbo 2.7.x的使用者,請升級到Dubbo 2.7.13。
- 使用Dubbo 3.x的使用者,請升級到Dubbo 3.0.2。
- 使用Dubbo-admin的使用者,請將Dubbo-admin升級到最新版本。