漏洞概要
漏洞名称 |
Apache Dubbo多个漏洞安全通告 |
发布时间 |
2023年12月18日 |
组件名称 |
Apache Dubbo |
安全公告链接 |
https://lists.apache.org/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77 https://lists.apache.org/thread/zw53nxrkrfswmk9n3sfwxmcj7x030nmo |
官方解决方案 |
已发布 |
漏洞分析
组件介绍
Apache Dubbo是一款微服务框架,为大规模微服务实践提供高性能RPC通信、流量治理、可观测性等解决方案。
漏洞简介
近日,深信服安全团队监测到一则Apache Dubbo官方发布安全补丁的通告,共修复了2个安全漏洞,其中包含2个高危漏洞的信息。
序号 |
漏洞名称 |
影响版本 |
严重等级 |
1 |
Apache Dubbo 反序列化漏洞(CVE-2023-46279) |
Apache Dubbo = 3.1.5 |
高危 |
2 |
Apache Dubbo 反序列化漏洞(CVE-2023-29234) |
Apache Dubbo 3.2.x ≤ 3.2.4 Apache Dubbo 3.1.x ≤3.1.10 |
高危 |
高危漏洞描述
1.Apache Dubbo 反序列化漏洞(CVE-2023-46279)
Apache Dubbo中存在反序列化漏洞,攻击者利用该漏洞执行反序列化恶意代码,导致服务器失陷。
2.Apache Dubbo 反序列化漏洞(CVE-2023-29234)
Apache Dubbo中存在反序列化漏洞,攻击者利用该漏洞执行反序列化恶意代码,导致服务器失陷。
影响范围
Apache Dubbo 反序列化漏洞(CVE-2023-46279):
Apache Dubbo = 3.1.5
Apache Dubbo 反序列化漏洞(CVE-2023-29234):
Apache Dubbo 3.2.x ≤ 3.2.4
Apache Dubbo 3.1.x ≤ 3.1.10
解决方案
1.如何检测组件系统版本
(1)打开命令行或终端窗口。
(2)在窗口中输入以下命令:
mvn dependency:tree | grep dubbo
(3)该命令将列出所有与Dubbo相关的依赖项,包括版本号。
2.官方修复建议
官方已有可更新版本,建议受影响用户升级至最新版本。
- 上一篇:钓鱼邮件传播远控木马进行地域性攻击
- 下一篇:微软2023-12补丁日安全通告