双乳被一左一右吃着动态图,小泽マリアAV无码观看,欧美高清性xxxxhdvideosex,国产午夜精品一区二区三区四区

關(guān)于近期Web容器存在反序列化任意代碼執(zhí)行漏洞的修復(fù)措施建議公告

2015-11-18 17:16:34

安全公告編號:CNTA-2015-0025

近日,國家信息安全漏洞共享平臺(CNVD)收錄了Apache Commons Components InvokerTransformer反序列化任意代碼執(zhí)行漏洞(CNVD-2015-07556),該漏洞影響多款應(yīng)用廣泛的Web容器軟件。遠(yuǎn)程攻擊者利用漏洞可在目標(biāo)系統(tǒng)上執(zhí)行任意代碼,危害較大的可以取得網(wǎng)站服務(wù)器控制權(quán)。

一、漏洞情況分析

Apache Commons包含了多個(gè)開源工具的工具集,用于解決編程經(jīng)常遇到的問題,減少重復(fù)勞動(dòng)。由于Apache CommonsCollections組件的Deserialize功能存在的設(shè)計(jì)漏洞,CommonsCollections組件中對于集合的操作存在可以進(jìn)行反射調(diào)用的方法,且該方法在相關(guān)對象反序列化時(shí)并未進(jìn)行任何校驗(yàn),遠(yuǎn)程攻擊者利用漏洞可發(fā)送特殊的數(shù)據(jù)給應(yīng)用程序或給使用包含Java 'InvokerTransformer.class'序列化數(shù)據(jù)的應(yīng)用服務(wù)器,在目標(biāo)服務(wù)器當(dāng)前權(quán)限環(huán)境下執(zhí)行任意代碼。CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

Apache Commons工具集廣泛應(yīng)用于JAVA技術(shù)平臺, WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等應(yīng)用都大量調(diào)用了Commons工具集,通過遠(yuǎn)程代碼執(zhí)行可對上述應(yīng)用發(fā)起遠(yuǎn)程攻擊。

三、漏洞修復(fù)建議

用戶可參考如下廠商提供的安全公告獲取修復(fù)方案:?http://svn.apache.org/viewvc?view=revision&revision=1713307;目前,針對上述漏洞暫時(shí)沒有統(tǒng)一的官方補(bǔ)丁,CNVD建議參考如下措施(見下表)采取臨時(shí)修復(fù)措施:

Web容器 影響版本 建議解決方案
jboss JBoss Enterprise Application Platform 6.4.4,5.2.0,4.3.0_CP10

JBoss AS (Wildly) 6 and earlier

JBoss A-MQ 6.2.0

JBoss Fuse 6.2.0

JBoss SOA Platform (SOA-P) 5.3.1

JBoss Data Grid (JDG) 6.5.0

JBoss BRMS (BRMS) 6.1.0

JBoss BPMS (BPMS) 6.1.0

JBoss Data Virtualization (JDV) 6.1.0

JBoss Fuse Service Works (FSW) 6.0.0

JBoss Enterprise Web Server (EWS) 2.1,3.0		 刪除 commons-collections jar 中的 InvokerTransformer, InstantiateFactory, 和 InstantiateTransfromer class 文件
WebSphere 使用 SerialKiller 替換進(jìn)行序列化操作的 ObjectInputStream 類;
在不影響業(yè)務(wù)的情況下,臨時(shí)刪除掉項(xiàng)目里的 "org/apache/commons/collections/functors/InvokerTransformer.class" 文件;
WebLogic 9.2.3.0\9.2.4.0\10.0.0.0\10.0.1.0\
10.0.2.0\10.2.6.0\10.3.0.0\10.3.1.0
\10.3.2.0\10.3.4.0\10.3.5.0\12.1.1.0
Jenkins

附:參考鏈接:

http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/#jboss

http://www.cnvd.org.cn/flaw/show/CNVD-2015-07556