近日,国家信息安全漏洞共享平台(CNVD)收录了Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞(CNVD-2015-07556),该漏洞影响多款应用广泛的Web容器软件。远程攻击者利用漏洞可在目标系统上执行任意代码,危害较大的可以取得网站服务器控制权。
一、漏洞情况分析
Apache Commons包含了多个开源工具的工具集,用于解决编程经常遇到的问题,减少重复劳动。由于Apache CommonsCollections组件的Deserialize功能存在的设计漏洞,CommonsCollections组件中对于集合的操作存在可以进行反射调用的方法,且该方法在相关对象反序列化时并未进行任何校验,远程攻击者利用漏洞可发送特殊的数据给应用程序或给使用包含Java 'InvokerTransformer.class'序列化数据的应用服务器,在目标服务器当前权限环境下执行任意代码。CNVD对该漏洞的综合评级为“高危”。
二、漏洞影响范围
Apache Commons工具集广泛应用于JAVA技术平台, WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等应用都大量调用了Commons工具集,通过远程代码执行可对上述应用发起远程攻击。
三、漏洞修复建议
用户可参考如下厂商提供的安全公告获取修复方案: http://svn.apache.org/viewvc?view=revision&revision=1713307;目前,针对上述漏洞暂时没有统一的官方补丁,CNVD建议参考如下措施(见下表)采取临时修复措施:
