关于近期Web容器存在反序列化任意代码执行漏洞的修复措施建议公告
2015-11-18 17:16:34
安全公告编号:CNTA-2015-0025
近日,国家信息安全漏洞共享平台(CNVD)收录了Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞(CNVD-2015-07556),该漏洞影响多款应用广泛的Web容器软件。远程攻击者利用漏洞可在目标系统上执行任意代码,危害较大的可以取得网站服务器控制权。
一、漏洞情况分析
Apache Commons包含了多个开源工具的工具集,用于解决编程经常遇到的问题,减少重复劳动。由于Apache CommonsCollections组件的Deserialize功能存在的设计漏洞,CommonsCollections组件中对于集合的操作存在可以进行反射调用的方法,且该方法在相关对象反序列化时并未进行任何校验,远程攻击者利用漏洞可发送特殊的数据给应用程序或给使用包含Java 'InvokerTransformer.class'序列化数据的应用服务器,在目标服务器当前权限环境下执行任意代码。CNVD对该漏洞的综合评级为“高危”。
二、漏洞影响范围
Apache Commons工具集广泛应用于JAVA技术平台, WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等应用都大量调用了Commons工具集,通过远程代码执行可对上述应用发起远程攻击。
三、漏洞修复建议
用户可参考如下厂商提供的安全公告获取修复方案: http://svn.apache.org/viewvc?view=revision&revision=1713307;目前,针对上述漏洞暂时没有统一的官方补丁,CNVD建议参考如下措施(见下表)采取临时修复措施:
Web容器 | 影响版本 | 建议解决方案 |
jboss | JBoss Enterprise Application Platform 6.4.4,5.2.0,4.3.0_CP10 JBoss AS (Wildly) 6 and earlier JBoss A-MQ 6.2.0 JBoss Fuse 6.2.0 JBoss SOA Platform (SOA-P) 5.3.1 JBoss Data Grid (JDG) 6.5.0 JBoss BRMS (BRMS) 6.1.0 JBoss BPMS (BPMS) 6.1.0 JBoss Data Virtualization (JDV) 6.1.0 JBoss Fuse Service Works (FSW) 6.0.0 JBoss Enterprise Web Server (EWS) 2.1,3.0 | 删除 commons-collections jar 中的 InvokerTransformer, InstantiateFactory, 和 InstantiateTransfromer class 文件 |
WebSphere |
| 使用 SerialKiller 替换进行序列化操作的 ObjectInputStream 类; 在不影响业务的情况下,临时删除掉项目里的 "org/apache/commons/collections/functors/InvokerTransformer.class" 文件;
|
WebLogic | 9.2.3.0\9.2.4.0\10.0.0.0\10.0.1.0\10.0.2.0\10.2.6.0\10.3.0.0\10.3.1.0\10.3.2.0\10.3.4.0\10.3.5.0\12.1.1.0 | |
Jenkins |
| |
附:参考链接:
http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/#jboss
http://www.cnvd.org.cn/flaw/show/CNVD-2015-07556
本文来源:https://www.2haoxitong.net/k/doc/d3d8ffe3ed630b1c58eeb507.html
文档为doc格式