安全漏洞

当前位置:首页-湖北分中心-安全漏洞-正文

关于6.x版本JBOSS Application Server存在反序列化命令执行漏洞的安全公告

发布于:2017/11/27 9:29:06 点击量:1

关于6.x版本JBOSS Application Server存在反序列化命令执行漏洞的安全公告

        2017年9月14日,国家信息安全漏洞共享平台(CNVD)收录了JBOSS Application Server反序列化命令执行漏洞(CNVD-2017-33724,对应CVE-2017-12149),远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞细节和验证代码已公开,近期被不法分子利用出现大规模攻击尝试的可能性较大。

        一、漏洞情况分析

        JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用,2006年,JBoss被Redhat公司收购。 

        2017年8月30日,厂商Redhat发布了一个JBOSSAS 5.x 的反序列化远程代码执行漏洞通告。该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。但近期有安全研究者发现JBOSSAS 6.x也受该漏洞影响,攻击者利用该漏洞无需用户验证在系统上执行任意命令,获得服务器的控制权。CNVD对该漏洞的综合评级为“高危”。

        二、漏洞影响范围

        该漏洞影响5.x和6.x版本的JBOSSAS。目前评估潜在受影响主机数量超过5000台。

        三、防护建议

        升级到JBOSS AS7

        临时解决方案:

        1. 不需要 http-invoker.sar 组件的用户可直接删除此组件。

        2. 添加如下代码至 http-invoker.sar 下 web.xml 的 security-constraint 标签中:

        <url-pattern>/*</url-pattern>

        用于对 http invoker 组件进行访问控制。

        附:参考链接:

        https://access.redhat.com/security/cve/cve-2017-12149

        http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12149

        http://www.cnvd.org.cn/flaw/show/CNVD-2017-33724

湖北省通信管理局 鄂ICP备05000001号-1 网站标识码bm07170001 武汉市东湖新技术开发区珞喻路789号 版权所有(C)2003-2008
网站备案咨询电话:027-87796833 027-87796822
增值电信业务许可证申请咨询电话:027-87796369
办公室电话:027-87796999 传真电话:027-87796000 我为网站找错 鄂公网安备42018502003905号 网站建设: 双军技术