近日����,國家信息安全漏洞共享平臺(CNVD)收錄了Apache Commons Components InvokerTransformer反序列化任意代碼執(zhí)行漏洞(CNVD-2015-07556),該漏洞影響多款應(yīng)用廣泛的Web容器軟件�。遠(yuǎn)程攻擊者利用漏洞可在目標(biāo)系統(tǒng)上執(zhí)行任意代碼,危害較大的可以取得網(wǎng)站服務(wù)器控制權(quán)�����。
一�、漏洞情況分析
Apache Commons包含了多個開源工具的工具集,用于解決編程經(jīng)常遇到的問題���,減少重復(fù)勞動����。由于Apache CommonsCollections組件的Deserialize功能存在的設(shè)計漏洞�,CommonsCollections組件中對于集合的操作存在可以進(jìn)行反射調(diào)用的方法,且該方法在相關(guān)對象反序列化時并未進(jìn)行任何校驗(yàn)�����,遠(yuǎn)程攻擊者利用漏洞可發(fā)送特殊的數(shù)據(jù)給應(yīng)用程序或給使用包含Java 'InvokerTransformer.class'序列化數(shù)據(jù)的應(yīng)用服務(wù)器,在目標(biāo)服務(wù)器當(dāng)前權(quán)限環(huán)境下執(zhí)行任意代碼�����。CNVD對該漏洞的綜合評級為“高?����!?。
二、漏洞影響范圍
Apache Commons工具集廣泛應(yīng)用于JAVA技術(shù)平臺�����, WebLogic��、IBM WebSphere�����、JBoss���、Jenkins和OpenNMS等應(yīng)用都大量調(diào)用了Commons工具集��,通過遠(yuǎn)程代碼執(zhí)行可對上述應(yīng)用發(fā)起遠(yuǎn)程攻擊���。
三��、漏洞修復(fù)建議
用戶可參考如下廠商提供的安全公告獲取修復(fù)方案: http://svn.apache.org/viewvc?view=revision&revision=1713307��;目前��,針對上述漏洞暫時沒有統(tǒng)一的官方補(bǔ)丁���,CNVD建議參考如下措施(見下表)采取臨時修復(fù)措施:
