【Dubbo安全漏洞通告】-CVE-2021-30180-YAML规则加载造成的远程代码执行漏洞

YAML规则加载造成的远程代码执行漏洞,攻击者在攻破配置中心后,可通过上传恶意的YAML规则等触发反序列化漏洞。

漏洞描述

Apache Dubbo支持标签路由,这将使客户能够将请求路由到正确的服务器。 这些规则被加载到配置中心(例如:ZooKeeper、Nacos等)并由客户在发出请求时检索以找到正确的端点。

在解析这些YAML规则时,Dubbo客户端将使用SnakeYAML库加载规则,默认情况下会启用调用任意构造函数。如果攻击者访问了配置中心(ZooKeeper、Nacos等)并设置了恶意的YAML规则文件,就可以在消费者接收到规则时,进行RCE攻击。

漏洞评级

影响范围

  • 使用Dubbo 2.5.x版本的所有用户。

  • 使用Dubbo 2.6.10之前版本的所有用户。

  • 使用Dubbo 2.7.10之前版本的所有用户。

安全建议

请根据您使用的Dubbo版本,升级到指定版本。

  • 使用Dubbo 2.5.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。

  • 使用Dubbo 2.6.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。

  • 使用Dubbo 2.7.x的用户,请升级到Dubbo 2.7.12。