Apache Commons Collections 'InvokerTransformer.Java'远程代码执行漏洞
发布日期:2015-11-18
更新日期:2015-11-20
受影响系统:
Apache Group Commons Collections 4.0
Apache Group Commons Collections 3.2.1
Apache Group Commons Collections
不受影响系统:
Apache Group Commons Collections 4.1
Apache Group Commons Collections 3.2.2
描述:
BUGTRAQ ID: 77521
Apache Commons Collections可以扩展或增加Java集合框架,是Commons Proper的一个组件,该组件是一个可重复利用Java组件库。
Apache Commons Collections (ACC) 3.2.1及4.0版本未能正确验证用户输入,其InvokerTransformer类在反序列化来自可疑域的数据时存在安全漏洞,这可使攻击者在用户输入中附加恶意代码并组合运用不同类的readObject()方法,在最终类型检查之前执行Java函数或字节码(包括调用Runtime.exec()执行本地OS命令)。直接使用ACC或类路径中包含ACC的Java应用都受到影响,包括Oracle WebLogic、IBM WebSphere、Red Hat JBoss、Jenkins、OpenNMS等中间件平台。
Chris Frohoff
Stephen Breen
链接:https://threatpost.com/critical-java-bug-extends-to-oracle-ibm-middleware/115319/
http://www.kb.cert.org/vuls/id/576313
*>
建议: