全部产品
云市场
云游戏

【漏洞公告】CVE-2017-15708:Apache Synapse远程代码执行漏洞

更新时间:2018-03-07 22:09:54

近日,Apache Synapse发布的新版本修复了一个远程代码执行漏洞(CVE-2017-15708)。该漏洞来自Apache Commons Collections组件,攻击者可以通过注入特制的序列化对象来远程执行代码。参见文末 什么是 Apache Synapse

漏洞详情见下文。


漏洞编号:

CVE-2017-15708

漏洞名称:

Apache Synapse远程代码执行漏洞

官方评级:

高危

漏洞描述:

该漏洞存在于Apache Commons Collections组件,攻击者可以通过注入特制的序列化对象来远程执行代码。

漏洞利用条件和方式:

通过PoC直接远程利用。

PoC状态:

未公开

漏洞影响范围:

Apache Synapse version < 3.0.1

漏洞检测:

开发人员检查是否使用了受影响版本范围内的Apache Synapse软件。

漏洞修复建议(或缓解措施):

Apache Synapse官方发布的最新版本3.0.1已修复了该漏洞,请受影响的用户尽快升级到最新版本进行防护。

情报来源:

什么是 Apache Synapse

大多数公司热衷于将它们现有的中间件转换为先进的SOA服务体系架构,但这通常需要花费很大的代价。Apache Synapse是一个简单的、高质量的开放源代码替代方法,为实现SOA提供了一种途径,它可以公开现有的应用程序,而无需重新编写任何代码。

Apache Synapse是一个轻量级且高性能的企业服务总线(ESB)。Apache Synapse由快速异步中介引擎提供支持,为XML,Web服务和REST提供了卓越的支持。除了XML和SOAP,Apache Synapse还支持其他几种内容交换格式,如纯文本,二进制,Hessian和JSON。可用于Synapse的各种传输适配器使其能够通过许多应用层和传输层协议进行通信。截至目前,Apache Synapse支持HTTP/S,邮件(POP3,IMAP,SMTP),JMS,TCP,UDP,VFS,SMS,XMPP和FIX。