尊敬的腾讯云用户，您好！

近日，腾讯云安全运营中心监测到，国外安全研究人员披露Apache Dubbo多个高危漏洞。攻击者可能利用漏洞造成远程代码执行等危害。漏洞编号：CVE-2021-25641、CVE-2021-30179、CVE-2021-30180、CVE-2021-30181、CVE-2021-32824。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Apache Dubbo是一款应用广泛的Java RPC分布式服务框架。

漏洞最早在5月28日已被Apache Dubbo官方披露，并已发布相关补丁版本。目前更多漏洞利用细节已被公开。

CVE-2021-25641:
Apache Dubbo Hessian2 协议反序列化漏洞。攻击者可利用其他协议绕过Hessian2黑名单造成反序列化。
 
CVE-2021-30179：
Apache Dubbo Generic filter 远程代码执行漏洞。Apache Dubbo Generic filter存在过滤不严等问题，攻击者可构造恶意请求调用恶意方法从而造成远程代码执行。
 
CVE-2021-32824：
Apache Dubbo Telnet handler 远程代码执行漏洞。Apache Dubbo Telnet handler在处理相关请求时，允许攻击者调用恶意方法从而造成远程代码执行。
 
CVE-2021-30180：
Apache Dubbo YAML 反序列化漏洞。Apache Dubbo多处使用了yaml.load，从而造成了Yaml反序列化漏洞。
 
CVE-2021-30181：
Apache Dubbo Nashorn 脚本远程代码执行漏洞。攻击者可构造恶意请求注入Nashorn脚本，造成远程代码执行等危害。

风险等级

高（漏洞利用细节被公开）

漏洞风险

攻击者可利用该漏洞可远程执行任意代码。

影响版本

Apache Dubbo < 2.7.10

Apache Dubbo < 2.6.10

安全版本

Apache Dubbo 2.7.10
Apache Dubbo 2.6.10

修复建议

1.Apache Dubbo官方已发布安全版本，腾讯云安全建议您尽快升级相关组件，避免影响业务。
2.可对Apache Dubbo 相关端口进行白名单限制，进行临时缓解。

【备注】：建议您在升级前做好数据备份工作，避免出现意外

漏洞参考

https://securitylab.github.com/advisories/GHSL-2021-034_043-apache-dubbo/