本文介绍CVE-2021-36162漏洞的原因以及如何解决。

漏洞描述

Apache Dubbo支持通过下发各种类型的规则来进行配置覆盖或流量路由(在Dubbo中称为路由)。这些规则被加载到配置中心(例如:ZooKeeper、Nacos等),并由客户在发出请求时检索,以便找到正确的端点。

在解析这些YAML规则时,Dubbo客户将使用SnakeYAML库加载规则。默认情况下,这些规则将允许调用任意构造函数。有权访问configuration center的攻击者将能够恶意篡改这些规则,因此当使用者读取到来自注册中心的规则时,有可能遭受恶意规则的RCE攻击。

漏洞评级

影响范围

  • 使用Dubbo 2.7.0到2.7.12的所有用户。
  • 使用Dubbo 3.0.0 to 3.0.1的所有用户。
  • 使用Dubbo-admin的所有用户。

安全建议

请根据您使用的Dubbo版本,升级到指定版本。

  • 使用Dubbo 2.7.x的用户,请升级到Dubbo 2.7.13。
  • 使用Dubbo 3.x的用户,请升级到Dubbo 3.0.2。
  • 使用Dubbo-admin的用户,请将Dubbo-admin升级到最新版本。