Apache Dubbo 反序列化漏洞

• 漏洞编号：CVE-2023-29234
  
• 漏洞类型：反序列化
• 漏洞等级：高危
• 发布时间：2023-12-18

漏洞描述：

Apache Dubbo 是一款微服务开发框架，它提供了RPC通信与微服务治理两大关键能力。使应用可通过高性能的 RPC 实现服务的输出和输入功能，可以和 Spring 框架无缝集成。

Apache Dubbo 某些版本在解码恶意包时存在反序列化漏洞，远程攻击者可利用该漏洞执行任意代码。

影响版本：

修复建议

官方已修复该漏洞，建议用户更新到安全版本。
安全版本:
Apache Dubbo >= 3.1.11
Apache Dubbo >= 3.2.5
下载链接：
https://github.com/apache/dubbo/releases

参考链接:

https://lists.apache.org/thread/wb2df2whkdnbgp54nnqn0m94rllx8f77
http://www.openwall.com/lists/oss-security/2023/12/15/2