网络安全

关于6.x版本JBOSS Application Server存在反序列化命令执行漏洞的预警通报

发布时间: 2017-11-27 10:20:40    浏览次数: 121

2017914日,国家信息安全漏洞共享平台(CNVD)收录了JBOSS Application Server反序列化命令执行漏洞(CNVD-2017-33724,对应CVE-2017-12149),远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞细节和验证代码已公开,近期被不法分子利用出现大规模攻击尝试的可能性较大。

一、漏洞情况分析

JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。 JBOSS代码遵循LGPL许可,可以在任何商业应用中免费使用,2006年,JBOSSRedhat公司收购。 

2017830日,厂商Redhat发布了一个JBOSSAS 5.x 的反序列化远程代码执行漏洞通告。该漏洞位于JBOSSHttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。但近期有安全研究者发现JBOSSAS 6.x也受该漏洞影响,攻击者利用该漏洞无需用户验证在系统上执行任意命令,获得服务器的控制权。CNVD对该漏洞的综合评级为高危

二、漏洞影响范围

该漏洞影响5.x6.x版本的JBOSSAS。目前评估潜在受影响主机数量超过5000台。

三、防护建议

升级到JBOSS AS7

临时解决方案:

 1. 不需要 http-invoker.sar 组件的用户可直接删除此组件。

 2. 添加如下代码至 http-invoker.sar web.xml security-constraint 标签中:

        <url-pattern>/*</url-pattern>

用于对 http invoker 组件进行访问控制。

 

 

                                                                                      国家计算机网络应急技术处理协调中心西藏分中心

                                                                             20171124
关于XZCERT

国家计算机网络应急技术处理协调中心西藏分中心(简称西藏互联网应急中心,XZCERT)是国家互联网应急中心(CNCERT/CC)在西藏自治区的省级分支机构,是西藏自治区通信管理局直属副厅级事业单位,致力于建设省级网络安全监测中心、预警中心和应急中心,以支撑区内政府主管部门履行网络安全相关的社会管理和公共服务职能,支持基础信息网络的安全防护和安全运行,支援重要信息系统的网络安全监测、预警和处置。

 

关于CNVD
 
   国家信息安全漏洞共享平台(China National Vulnera bility Database,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。


附件:



西藏自治区通信管理局版权所有 2010-2015

COPYRIGHT 2005 XZCA.GOV.CN ALL RIGHTS RESERVED 藏ICP备05000001

藏公网安备 54010202000074号

地址:西藏自治区拉萨市太阳岛一路13号

电话:0891-6871028   邮编:850006