当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

漏洞名称:Apache Commons Collections InvokerTransformer远程代码执行

     发表日期:2015-11-26 15:50:44

漏洞名称:Apache Commons Collections InvokerTransformer远程代码执行漏洞
受影响系统:
Apache Group Commons Collections 4.0
Apache Group Commons Collections 3.2.1
Apache Group Commons Collections
详细信息:
Apache Commons Collections可以扩展或增加Java集合框架,是Commons Proper的一个组件,该组件是一个可重复利用Java组件库。
 
 
 
Apache Commons Collections (ACC) 3.2.1及4.0版本未能正确验证用户输入,其InvokerTransformer类在反序列化来自可疑域的数据时存在安全漏洞,这可使攻击者在用户输入中附加恶意代码并组合运用不同类的readObject()方法,在最终类型检查之前执行Java函数或字节码(包括调用Runtime.exec()执行本地OS命令)。直接使用ACC或类路径中包含ACC的Java应用都受到影响,包括Oracle WebLogic、IBM WebSphere、Red Hat JBoss、Jenkins、OpenNMS等中间件平台。
 
 
漏洞来源:
Gabriel Lawrence
解决方案:
临时解决方法:
 
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
 
 
 
* 使用防火墙规则及文件系统访问限制。
 
厂商补丁:
 
Apache Group
------------
目前厂商已经发布了升级补丁ACC 3.2.2 以修复这个安全问题,请到厂商的主页下载:
 
https://commons.apache.org/proper/commons-collections/download_collections.cgi
 
http://svn.apache.org/viewvc?view=revision&revision=1713307
 
https://commons.apache.org/proper/commons-collections/ 
 
https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread
 
 
 
参考:
 
 
 
 
 
https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread
 
https://issues.apache.org/jira/browse/COLLECTIONS-580
 
http://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html?elq_mid=31793&sh=&cmid=WWSU12091612MPP001C179
 
https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2015-11-11
 
http://www.openwall.com/lists/oss-security/2015/11/11/3
 
http://www.infoq.com/news/2015/11/commons-exploit
 
https://tersesystems.com/2015/11/08/closing-the-open-door-of-java-object-serialization/
 
http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/
 
3c20151106222553.00002c57.ecki@zusammenkunft.net%3e" target="_blank">http://mail-archives.apache.org/mod_mbox/commons-dev/201511.mbox/%3c20151106222553.00002c57.ecki@zusammenkunft.net%3e
 
http://frohoff.github.io/appseccali-marshalling-pickles/
 
http://www.slideshare.net/frohoff1/appseccali-2015-marshalling-pickles
 
https://www.youtube.com/watch?v=VviY3O-euVQ
 
https://commons.apache.org/proper/commons-collections/
 
http://cwe.mitre.org/data/definitions/502.html
 
https://www.securecoding.cert.org/confluence/pages/viewpage.action?pageId=27492407
 
http://www.oracle.com/technetwork/java/seccodeguide-139067.html#8