重点关注
漏洞公告
恶意代码
关于近期Web容器存在反序列化任意代码执行漏洞的修复措施建议公告
近日,国家信息安全漏洞共享平台(CNVD)收录了Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞(CNVD-2015-07556),该漏洞影响多款应用广泛的Web容器软件。远程攻击者利用漏洞可在目标系统上执行任意代码,危害较大的可以取得网站服务器控制权。
一、漏洞情况分析
Apache Commons包含了多个开源工具的工具集,用于解决编程经常遇到的问题,减少重复劳动。由于Apache CommonsCollections组件的Deserialize功能存在的设计漏洞,CommonsCollections组件中对于集合的操作存在可以进行反射调用的方法,且该方法在相关对象反序列化时并未进行任何校验,远程攻击者利用漏洞可发送特殊的数据给应用程序或给使用包含Java 'InvokerTransformer.class'序列化数据的应用服务器,在目标服务器当前权限环境下执行任意代码。CNVD对该漏洞的综合评级为“高危”。
二、漏洞影响范围
Apache Commons工具集广泛应用于JAVA技术平台, WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等应用都大量调用了Commons工具集,通过远程代码执行可对上述应用发起远程攻击。
三、漏洞修复建议
用户可参考如下厂商提供的安全公告获取修复方案: http://svn.apache.org/viewvc?view=revision&revision=1713307;目前,针对上述漏洞暂时没有统一的官方补丁,CNVD建议参考如下措施(见下表)采取临时修复措施:
|
Web容器
|
影响版本
|
建议解决方案
|
|
jboss
|
JBoss Enterprise Application Platform 6.4.4,5.2.0,4.3.0_CP10
JBoss AS (Wildly) 6 and earlier
JBoss A-MQ 6.2.0
JBoss Fuse 6.2.0
JBoss SOA Platform (SOA-P) 5.3.1
JBoss Data Grid (JDG) 6.5.0
JBoss BRMS (BRMS) 6.1.0
JBoss BPMS (BPMS) 6.1.0
JBoss Data Virtualization (JDV) 6.1.0
JBoss Fuse Service Works (FSW) 6.0.0
JBoss Enterprise Web Server (EWS) 2.1,3.0
|
删除 commons-collections jar 中的 InvokerTransformer, InstantiateFactory, 和 InstantiateTransfromer class 文件
|
|
WebSphere
|
|
使用 SerialKiller 替换进行序列化操作的 ObjectInputStream 类;
在不影响业务的情况下,临时删除掉项目里的 "org/apache/commons/collections/functors
/InvokerTransformer.class" 文件
|
|
WebLogic
|
9.2.3.09.2.4.010.0.0.010.0.1.010.0.2.010.2.6.010.3.0.010.3.1.010.3.2.010.3.4.010.3.5.012.1.1.0
|
|
|
Jenkins
|
|
附:参考链接:
