近期，国家信息安全漏洞共享平台（CNVD）对Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞（编号:CNVD-2015-07556,又称“java反序列化漏洞”）进行了跟踪和威胁风险普查。该漏洞影响多款应用广泛的Web容器软件。远程攻击者利用漏洞可在目标系统上执行任意代码，危害较大的可以取得网站服务器控制权。相关情况如下：

        一、漏洞情况分析

        Apache Commons包含了多个开源工具的工具集，用于解决编程经常遇到的问题，减少重复劳动。由于Apache CommonsCollections组件的Deserialize功能存在的设计漏洞，CommonsCollections组件中对于集合的操作存在可以进行反射调用的方法，且该方法在相关对象反序列化时并未进行任何校验，远程攻击者利用漏洞可发送特殊的数据给应用程序或给使用包含Java 'InvokerTransformer.class'序列化数据的应用服务器，在目标服务器当前权限环境下执行任意代码。CNVD对该漏洞的综合评级为 “高危”。

        二、漏洞影响范围

        Apache Commons工具集广泛应用于JAVA技术平台，WebLogic、WebSphere、JBoss、Jenkins等Web容器应用都大量调用了Commons工具集，通过远程代码执行可对上述应用发起远程攻击。截至12月初，CNCERT对互联网上应用上述四类Web应用的分布情况和受漏洞影响进行了探测，分别探得全球有40169台主机使用Jboss软件，有9572台主机使用weblogic软件，有20600台主机使用jenkins软件，有29975台主机使用websphere软件。根据对境内主机IP的测试情况，Jboss、Weblogic、Jenkins受到漏洞影响的未修复比例分别是13.9%、50.4%、33.4%；从绝对数量看，Weblogic受到影响的数量最多。详情见附表一至附表九。

        三、漏洞修复建议

        用户可参考如下厂商提供的安全公告获取修复方案： http://svn.apache.org/viewvc?view=revision&revision=1713307。近期，CNCERT已处置数十起涉及政府部门、重要信息系统行业单位的Java反序列化通用漏洞案例。

        CNCERT 将继续跟踪事件后续情况，做好国内用户受影响情况的监测和预警工作。同时，请国内相关单位做好信息系统应用情况排查工作，如需技术支援，请联系 CNCERT。电子邮箱： cncert@cert.org.cn，联系电话： 010-82990999。

        附表一：Jboss全球应用情况Top 10

        附表二： Jboss国内应用情况TOP 10

        附表三：weblogic全球应用情况TOP 10

        附表四：Weblogic国内应用情况TOP 10

        附表五：Jenkins全球应用情况TOP 10

        附表六： Jenkins国内应用情况TOP10

        附表七： Websphere全球应用情况TOP 10

        附表八： Websphere 国内应用情况TOP 10

        附表九：国内服务器IP应用识别和威胁普查情况表