WebSphere Comments Collections组件反序列化漏洞(CVE-2015-7450)

原创 2016年05月30日 10:42:30

刚刚完成了一个项目,在上线之前请求安全部门进行漏洞扫描,其中有一个漏洞名称是“WebSphere Comments Collections组件反序列化漏洞(CVE-2015-7450)”,按照扫描结果的提示解决方案,成功解决了,先分享一下。


详细描述 Apache Commons Collections可以扩展或增加Java集合框架,是Commons Proper的一个组件,该组件是一个可重复利用Java组件库。

Apache Commons Collections (ACC) 3.2.1及4.0版本未能正确验证用户输入,其InvokerTransformer类在反序列化来自可疑域的数据时存在安全漏洞,这可使攻击者在用户输入中附加恶意代码并组合运用不同类的readObject()方法,在最终类型检查之前执行Java函数或字节码(包括调用Runtime.exec()执行本地OS命令)。

<*来源:Gabriel Lawrence
Chris Frohoff
Stephen Breen

链接:https://threatpost.com/critical-java-bug-extends-to-oracle-ibm-middleware/115319/
http://www.kb.cert.org/vuls/id/576313
*>
解决办法 临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 使用防火墙规则及文件系统访问限制
* 使用 SerialKiller 替换进行序列化操作的 ObjectInputStream 类
* 临时删除掉项目里的“org/apache/commons/collections/functors/InvokerTransformer.class” 文件

厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁ACC 3.2.2 以修复这个安全问题,请到厂商的主页下载:
https://commons.apache.org/proper/commons-collections/download_collections.cgi
http://svn.apache.org/viewvc?view=revision&revision=1713307
https://commons.apache.org/proper/commons-collections/ 
https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread


漏洞原理及代码分析请看(感谢博主“随风”提供):https://www.iswin.org/2015/11/13/Apache-CommonsCollections-Deserialized-Vulnerability/


按照上面的建议,到该网站下载修复后的jar包(commons-collections4-4.1-bin.zip):https://commons.apache.org/proper/commons-collections/download_collections.cgi

版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

Commons Collections Java反序列化漏洞深入分析

http://www.myhack58.com/Article/html/3/62/2015/69493.htm 今年目前为止Java方面影响力最大的漏洞莫过于这段时间持续火热的Common...

禁止JVM执行外部命令Runtime.exec -- 由Apache Commons Collections漏洞引发的思考

Apache Commons Collections远程代码执行漏洞最近出来一个比较严重的漏洞,在使用了Apache Commons Collections的Java应用,可以远程代码执行。包括最新版...

JAVA Apache-CommonsCollections 序列化RCE漏洞分析

0x00 漏洞背景 2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic、...

java反序列化漏洞解决方案

测解决方案是针对weblogic10.3.6.0版本的   方案一:   删除weblogic中com.bea.core.apache.commons.collections_3.2.0.jar包中的...

CVE-2015-4852 java 反序列化漏洞--weblogic补丁

CVE-2015-4852 Patch Availability Document for Oracle WebLogic Server Component of Oracle Fusion Mid...

glibc CVE-2015-7547漏洞的分析和修复方法

glibc中处理DNS查询的代码中存在栈溢出漏洞,远端攻击者可以通过回应特定构造的DNS响应数据包导致glibc相关的应用程序crash或者利用栈溢出运行任意代码。应用程序调用使用getaddrinf...

Commons Collections Java反序列化漏洞利用

0x00 漏洞原理与成因  漏洞作者写的技术分析:http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jen...

weblogic反序列化漏洞测试与解决

一、测试 java -jar CommonsCollectionsTools.jar weblogic 192.168.0.11 7001 F:/a.txt 执行该操作后,如果该IP上的电脑生成a....

修复weblogic的JAVA反序列化漏洞的多种方法

0x00 前言 目前oracle还没有在公开途径发布weblogic的JAVA反序列化漏洞的官方补丁,目前看到的修复方法无非两条: 使用SerialKiller替换进行序列化操作的Obje...

JAVA反序列化exp及使用方法

这两天很火的java反序列化漏洞,看到乌云大牛已经开始刷分,于是找来实践一波 exp来源ysoserialhttps://github.com/frohoff/ysoserial这个项目针对不同的ja...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:WebSphere Comments Collections组件反序列化漏洞(CVE-2015-7450)
举报原因:
原因补充:

(最多只允许输入30个字)