Telnet handler远程代码执行漏洞,恶意攻击者可能通过Telnet接口构造相关请求进行攻击。

漏洞描述

Apache Dubbo主服务端口也可用于访问Telnet Handler,其中Invoke Handler远程代码存在执行漏洞,恶意攻击者可能通过Telnet接口的Invoke Handler构造相关请求进行攻击。

漏洞评级

影响范围

  • 使用Dubbo 2.5.x版本的所有用户。
  • 使用Dubbo 2.6.10之前版本的所有用户。
  • 使用Dubbo 2.7.10之前版本的所有用户。

安全建议

您可以升级Dubbo版本,也可以配置参数,规避该漏洞。

  • 升级Dubbo版本:
    • 使用Dubbo 2.5.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。
    • 使用Dubbo 2.6.x的用户,请升级到Dubbo 2.6.10.1或Dubbo 2.7.12。
    • 使用Dubbo 2.7.x的用户,请升级到Dubbo 2.7.12。
  • 在应用程序的配置文件(例如application.properties)中配置dubbo.provider.telnet=exit关闭Telnet的相关服务功能。