网络安全

关于Apache Synapse存在远程代码执行漏洞的预警通报

发布时间: 2017-12-12 16:43:24    浏览次数: 91

2017年12月11日,国家信息安全漏洞共享平台(CNVD)收录了 Apache Synapse远程代码执行漏洞(CNVD-2017-36700,对应CVE-2017-15708)。攻击者可利用上述漏洞通过注入特制的序列化对象远程执行代码。

一、漏洞情况分析

Apache Synapse是一个简单的、高质量开放源代码的替代方法,为实现 SOA 提供了一种途径,它可以公开现有的应用程序,而无需重新编写任何代码。

近日,Apache Synapse发布了新版本修复的一个远程代码执行漏洞(CVE-2017-15708)。该漏洞源于Apache Commons Collections库包含“functor”包中的各个类可被序列化所致。攻击者可以通过注入特制的序列化对象,并在其类路径中包含Apache Commons Collections库,且不执行任何类型的输入验证,导致可远程执行代码。CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

漏洞影响Apache Synapse 3.0.1之前的所有版本。

三、漏洞修复建议

Apache Synapse官方已经发布了最新的3.0.1版本修复该漏洞,请受影响的用户尽快升级到最新版本:http://synapse.apache.org/download/3.0.1/download.cgi。

 

                                    国家计算机网络应急技术处理协调中心西藏分中心

                                                  2017年12月12日

关于XZCERT

国家计算机网络应急技术处理协调中心西藏分中心(简称西藏互联网应急中心,XZCERT)是国家互联网应急中心(CNCERT/CC)在西藏自治区的省级分支机构,是西藏自治区通信管理局直属副厅级事业单位,致力于建设省级网络安全监测中心、预警中心和应急中心,以支撑区内政府主管部门履行网络安全相关的社会管理和公共服务职能,支持基础信息网络的安全防护和安全运行,支援重要信息系统的网络安全监测、预警和处置。

 

关于CNVD

国家信息安全漏洞共享平台(China National Vulnerability Database,简称CNVD)是CNCERT联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库,致力于建立国家统一的信息安全漏洞收集、发布、验证、分析等应急处理体系。


附件:



西藏自治区通信管理局版权所有 2010-2015

COPYRIGHT 2005 XZCA.GOV.CN ALL RIGHTS RESERVED 藏ICP备05000001

藏公网安备 54010202000074号

地址:西藏自治区拉萨市太阳岛一路13号

电话:0891-6871028   邮编:850006