近期，国家信息安全漏洞共享平台（CNVD）对Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞（编号:CNVD-2015-07556,又称“java反序列化漏洞”）进行了跟踪和威胁风险普查。该漏洞影响多款应用广泛的Web容器软件。远程攻击者利用漏洞可在目标系统上执行任意代码，危害较大的可以取得网站服务器控制权。相关情况如下：

        一、漏洞情况分析

        Apache Commons包含了多个开源工具的工具集，用于解决编程经常遇到的问题，减少重复劳动。由于Apache CommonsCollections组件的Deserialize功能存在的设计漏洞，CommonsCollections组件中对于集合的操作存在 可以进行反射调用的方法，且该方法在相关对象反序列化时并未进行任何校验，远程攻击者利用漏洞可发送特殊的数据给应用程序或给使用包含Java 'InvokerTransformer.class'序列化数据的应用服务器，在目标服务器当前权限环境下执行任意代码。CNVD对该漏洞的综合评级为 “高危”。

        二、漏洞影响范围

        Apache Commons工具集广泛应用于JAVA技术平台，WebLogic、WebSphere、JBoss、Jenkins等Web容器应用都大量调用了Commons工具集，通过远程代码执行可对上述应用发起远程攻击。截至12月初，CNVD对互联网上应用上述四类Web应用的分布情况和受漏洞影响进行了探测，分别探得全球有40169台主机使用Jboss软件，有9572台主机使用weblogic软件，有20600台主机使用jenkins软件，有29975台主机使用websphere软件。根据对境内主机IP的测试情况，Jboss、Weblogic、Jenkins受到漏洞影响的未修复比例分别是13.9%、50.4%、33.4%；从绝对数量看，Weblogic受到影响的数量最多。详情见附表1至附表9。

        三、漏洞修复建议

        用户可参考如下厂商提供的安全公告获取修复方案： http://svn.apache.org/viewvc?view=revision&revision=1713307。近期，CNVD处置了数十起涉及政府部门、重要信息系统行业单位的Java反序列化通用漏洞案例。

        参考链接：

        http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/#jboss

        http://www.cnvd.org.cn/flaw/show/CNVD-2015-07556

        附件：