全部产品
云市场

【漏洞公告】"Java 反序列化" 过程远程命令执行漏洞

更新时间:2017-10-31 19:33:36

漏洞描述

国外 FoxGlove 安全研究团队于2015年11月06日在其博客上公开了一篇关于常见 Java 应用如何利用反序列化操作进行远程命令执行的文章。

原博文中所提到的 Java 应用都使用了 Apache Commons Collections 这个库,并且都存在一个序列化对象数据交互接口能够被访问到的问题。针对每个应用,博文都提供了相应的分析和验证代码来说明 Java 应用存在远程命令执行漏洞的普遍性。

漏洞危害

机器上一旦有使用上述应用,即处于“裸奔”状态,黑客可随时利用此漏洞执行任意系统命令,完全控制机器,破坏或窃取机器上的数据。

受影响范围

理论上,使用了 Apache Commons Collections 这个库的应用都受到该漏洞影响。目前已经被证实受影响的应用包括:

  • WebSphere
  • WebLogic
  • JBoss
  • Jenkins
  • OpenNMS
  • JAVA RMI

建议修复方案

升级 Apache Commons Collections 库到最新版本。