关闭

WebSphere Comments Collections组件反序列化漏洞(CVE-2015-7450)

2623人阅读 评论(0) 收藏 举报
分类:

刚刚完成了一个项目,在上线之前请求安全部门进行漏洞扫描,其中有一个漏洞名称是“WebSphere Comments Collections组件反序列化漏洞(CVE-2015-7450)”,按照扫描结果的提示解决方案,成功解决了,先分享一下。


详细描述 Apache Commons Collections可以扩展或增加Java集合框架,是Commons Proper的一个组件,该组件是一个可重复利用Java组件库。

Apache Commons Collections (ACC) 3.2.1及4.0版本未能正确验证用户输入,其InvokerTransformer类在反序列化来自可疑域的数据时存在安全漏洞,这可使攻击者在用户输入中附加恶意代码并组合运用不同类的readObject()方法,在最终类型检查之前执行Java函数或字节码(包括调用Runtime.exec()执行本地OS命令)。

<*来源:Gabriel Lawrence
Chris Frohoff
Stephen Breen

链接:https://threatpost.com/critical-java-bug-extends-to-oracle-ibm-middleware/115319/
http://www.kb.cert.org/vuls/id/576313
*>
解决办法 临时解决方法:

如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 使用防火墙规则及文件系统访问限制
* 使用 SerialKiller 替换进行序列化操作的 ObjectInputStream 类
* 临时删除掉项目里的“org/apache/commons/collections/functors/InvokerTransformer.class” 文件

厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁ACC 3.2.2 以修复这个安全问题,请到厂商的主页下载:
https://commons.apache.org/proper/commons-collections/download_collections.cgi
http://svn.apache.org/viewvc?view=revision&revision=1713307
https://commons.apache.org/proper/commons-collections/ 
https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread


漏洞原理及代码分析请看(感谢博主“随风”提供):https://www.iswin.org/2015/11/13/Apache-CommonsCollections-Deserialized-Vulnerability/


按照上面的建议,到该网站下载修复后的jar包(commons-collections4-4.1-bin.zip):https://commons.apache.org/proper/commons-collections/download_collections.cgi

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:37459次
    • 积分:678
    • 等级:
    • 排名:千里之外
    • 原创:27篇
    • 转载:25篇
    • 译文:0篇
    • 评论:2条
    文章分类
    最新评论