WebSphere Comments Collections组件反序列化漏洞(CVE-2015-7450)

原创 2016年05月30日 10:42:30

刚刚完成了一个项目,在上线之前请求安全部门进行漏洞扫描,其中有一个漏洞名称是“WebSphere Comments Collections组件反序列化漏洞(CVE-2015-7450)”,按照扫描结果的提示解决方案,成功解决了,先分享一下。


详细描述 Apache Commons Collections可以扩展或增加Java集合框架,是Commons Proper的一个组件,该组件是一个可重复利用Java组件库。

Apache Commons Collections (ACC) 3.2.1及4.0版本未能正确验证用户输入,其InvokerTransformer类在反序列化来自可疑域的数据时存在安全漏洞,这可使攻击者在用户输入中附加恶意代码并组合运用不同类的readObject()方法,在最终类型检查之前执行Java函数或字节码(包括调用Runtime.exec()执行本地OS命令)。

<*来源:Gabriel Lawrence
Chris Frohoff
Stephen Breen

链接:https://threatpost.com/critical-java-bug-extends-to-oracle-ibm-middleware/115319/
http://www.kb.cert.org/vuls/id/576313
*>
解决办法 临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 使用防火墙规则及文件系统访问限制
* 使用 SerialKiller 替换进行序列化操作的 ObjectInputStream 类
* 临时删除掉项目里的“org/apache/commons/collections/functors/InvokerTransformer.class” 文件

厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁ACC 3.2.2 以修复这个安全问题,请到厂商的主页下载:
https://commons.apache.org/proper/commons-collections/download_collections.cgi
http://svn.apache.org/viewvc?view=revision&revision=1713307
https://commons.apache.org/proper/commons-collections/ 
https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread


漏洞原理及代码分析请看(感谢博主“随风”提供):https://www.iswin.org/2015/11/13/Apache-CommonsCollections-Deserialized-Vulnerability/


按照上面的建议,到该网站下载修复后的jar包(commons-collections4-4.1-bin.zip):https://commons.apache.org/proper/commons-collections/download_collections.cgi

版权声明:本文为博主原创文章,未经博主允许不得转载。

Joomla反序列化通杀漏洞(版本低于3.4.5)复现的那些坑

这是最近流出来的一个漏洞,利用Joomla反序列化可以造成远程代码执行。关于该漏洞的分析可以参考一下链接:       wooyun drops上的:http://drops.wooyun.org/...
  • bnxf00000
  • bnxf00000
  • 2015年12月18日 13:08
  • 4363

Apache commons 之 Collections :总览

Commons Collections,是一个重量级的东西,为Java标准的Collections API提供了相当好的补充。  在这里可以找到下载链接:(binary和src都有) http:/...
  • ffm83
  • ffm83
  • 2014年12月11日 14:07
  • 1709

Bag集合工具类(apache-commons-collections3.2工具包)在java中的使用

 Bag 是在 org.apache.commons.collections 包中定义的接口 ,也是集合的一种扩充工具类,当然结合用JDK中的map类进行相应的逻辑处理,也能实现Bag类的功能,...
  • chenleixing
  • chenleixing
  • 2015年01月25日 21:19
  • 7619

commons-collections-3.2.2-

  • 2017年11月01日 14:54
  • 4.38MB
  • 下载

CVE-2015-4852 java 反序列化漏洞--weblogic补丁

CVE-2015-4852 Patch Availability Document for Oracle WebLogic Server Component of Oracle Fusion Mid...
  • rocklei123
  • rocklei123
  • 2016年01月04日 11:22
  • 12194

java反序列化漏洞解决方案

测解决方案是针对weblogic10.3.6.0版本的   方案一:   删除weblogic中com.bea.core.apache.commons.collections_3.2.0.jar包中的...
  • OXiaoMianYiJiu
  • OXiaoMianYiJiu
  • 2016年01月22日 16:50
  • 4392

CVE-2015-7547漏洞分析从原因到利用到补丁(非常适合小白)

一、         漏洞概述 CVE漏洞链接:http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7547 披露/发现时间:20...
  • u012406115
  • u012406115
  • 2017年05月15日 23:48
  • 1279

关于Weblogic CVE-2016-3510、CVE-2016-0638 相关问题讨论

关于Weblogic CVE-2016-3510、CVE-2016-0638 相关问题讨论] 今天在跟朋友讨论Weblogic反序列化的问题时,他说客...
  • qq_27446553
  • qq_27446553
  • 2017年08月08日 17:42
  • 1991

Apache Commons Collections组件介绍使用

Commons Collections组件介绍使用介绍其实Java JDK已经提供了丰富的集合操作,但是在某些场合下,可能无法满足,apache commons组件提供了更加丰富的集数据结构。其实co...
  • nicewuranran
  • nicewuranran
  • 2016年09月05日 23:02
  • 810

Commons Collections Java反序列化漏洞利用

0x00 漏洞原理与成因  漏洞作者写的技术分析:http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jen...
  • autohacker
  • autohacker
  • 2016年04月11日 10:38
  • 1413
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:WebSphere Comments Collections组件反序列化漏洞(CVE-2015-7450)
举报原因:
原因补充:

(最多只允许输入30个字)