您所在的位置:首页 -> 行业管理 -> 网络安全

关于6.x版本JBOSS Application Server存在反序列化命令执行漏洞的安全公告

信息来源:     发稿编辑: 发布时间:2017-12-12

 

一、   漏洞情况分析

JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用,2006年,JBossRedhat公司收购。 

2017830日,厂商Redhat发布了一个JBOSSAS 5.x 的反序列化远程代码执行漏洞通告。该漏洞位于JBossHttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。但近期有安全研究者发现JBOSSAS 6.x也受该漏洞影响,攻击者利用该漏洞无需用户验证在系统上执行任意命令,获得服务器的控制权。

二、漏洞影响范围

该漏洞影响5.x6.x版本的JBOSSAS。目前评估潜在受影响主机数量超过5000台。

三、防护建议

升级到JBOSS AS7

    临时解决方案:

    1.不需要 http-invoker.sar 组件的用户可直接删除此组件。2.添加如下代码至 http-invoker.sar web.xml security-constraint 标签中: <url-pattern>/*</url-pattern>

用于对 http invoker 组件进行访问控制。

    附:参考链接:

https://access.redhat.com/security/cve/cve-2017-12149

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12149

http://www.cnvd.org.cn/flaw/show/CNVD-2017-33724

Copyright©2007. All Rights Reserver
版权所有:辽宁省通信管理局 辽ICP备05000001