篮球体育生被捆绑玩弄j,中文精品无码中文字幕无码专区,久久久久亚洲AV片无码下载蜜桃,日韩去日本高清在线

安全公告編號:CNTA-2015-0025

近日，國家信息安全漏洞共享平臺（CNVD）收錄了Apache Commons Components InvokerTransformer反序列化任意代碼執(zhí)行漏洞（CNVD-2015-07556）,該漏洞影響多款應用廣泛的Web容器軟件。遠程攻擊者利用漏洞可在目標系統(tǒng)上執(zhí)行任意代碼，危害較大的可以取得網(wǎng)站服務器控制權。

一、漏洞情況分析

Apache Commons包含了多個開源工具的工具集，用于解決編程經(jīng)常遇到的問題，減少重復勞動。由于Apache CommonsCollections組件的Deserialize功能存在的設計漏洞，CommonsCollections組件中對于集合的操作存在可以進行反射調(diào)用的方法，且該方法在相關對象反序列化時并未進行任何校驗，遠程攻擊者利用漏洞可發(fā)送特殊的數(shù)據(jù)給應用程序或給使用包含Java 'InvokerTransformer.class'序列化數(shù)據(jù)的應用服務器，在目標服務器當前權限環(huán)境下執(zhí)行任意代碼。CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

Apache Commons工具集廣泛應用于JAVA技術平臺， WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等應用都大量調(diào)用了Commons工具集，通過遠程代碼執(zhí)行可對上述應用發(fā)起遠程攻擊。

三、漏洞修復建議

用戶可參考如下廠商提供的安全公告獲取修復方案：?http://svn.apache.org/viewvc?view=revision&revision=1713307；目前，針對上述漏洞暫時沒有統(tǒng)一的官方補丁，CNVD建議參考如下措施（見下表）采取臨時修復措施：

Web容器	影響版本	建議解決方案
jboss	JBoss Enterprise Application Platform 6.4.4,5.2.0,4.3.0_CP10 JBoss AS (Wildly) 6 and earlier JBoss A-MQ 6.2.0 JBoss Fuse 6.2.0 JBoss SOA Platform (SOA-P) 5.3.1 JBoss Data Grid (JDG) 6.5.0 JBoss BRMS (BRMS) 6.1.0 JBoss BPMS (BPMS) 6.1.0 JBoss Data Virtualization (JDV) 6.1.0 JBoss Fuse Service Works (FSW) 6.0.0 JBoss Enterprise Web Server (EWS) 2.1,3.0	刪除 commons-collections jar 中的 InvokerTransformer, InstantiateFactory, 和 InstantiateTransfromer class 文件
WebSphere		使用 SerialKiller 替換進行序列化操作的 ObjectInputStream 類； 在不影響業(yè)務的情況下，臨時刪除掉項目里的 "org/apache/commons/collections/functors/InvokerTransformer.class" 文件；
WebLogic	9.2.3.0\9.2.4.0\10.0.0.0\10.0.1.0\ 10.0.2.0\10.2.6.0\10.3.0.0\10.3.1.0 \10.3.2.0\10.3.4.0\10.3.5.0\12.1.1.0
Jenkins

附：參考鏈接：

http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/#jboss

http://www.cnvd.org.cn/flaw/show/CNVD-2015-07556