Apache OFBiz远程代码执行漏洞通告

于 2021-05-01 08:06:25 发布
阅读量571 收藏 1
点赞数 1
分类专栏: 新增漏洞报告
原文链接:https://mp.weixin.qq.com/s/vfDVLtjtV9Mn0Rq5RNveSg
版权

报告编号:B6-2021-042801

报告来源:360CERT

报告作者:360CERT

更新日期:2021-04-28

1

漏洞简述

2021年04月28日,360CERT监测发现Apache OFBiz发布了漏洞风险通告,共包含2个漏洞,漏洞编号分别为CVE-2021-29200CVE-2021-30128,漏洞等级:严重,漏洞评分:9.8

OFBiz是一个非常著名的电子商务平台,其提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。OFBiz最主要的特点是OFBiz提供了一整套的开发基于Javaweb应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。

对此,360CERT建议广大用户及时将Apache OFBiz升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

2

风险等级

360CERT对该漏洞的评定结果如下

评定方式等级
威胁等级严重
影响面广泛
360CERT评分9.8

3

漏洞详情

CVE-2021-29200: 代码执行漏洞

CVE: CVE-2021-29200

组件: OFBiz

漏洞类型: 代码执行

影响: 服务器接管

简述: 由于Apache OFBiz存在Java RMI反序列化漏洞,未经身份验证的用户可以执行RCE攻击,导致服务器被接管。

CVE-2021-30128: 反序列化漏洞

CVE: CVE-2021-30128

组件: OFBiz

漏洞类型: 反序列化

影响: 代码执行,服务器接管

简述: 由于Apache OFBiz存在不安全的反序列化,可能会导致代码执行,服务器被接管。

4

影响版本

- Apache:OFBiz: <17.12.07

5

修复建议

通用修补建议

强烈建议用户升级到最新的稳定版本。

Apache OFBiz官方下载地址

https://www.apache.org/dyn/closer.lua/ofbiz/apache-ofbiz-17.12.07.zip

6

相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现Apache OFBiz具体分布如下图所示。

图片

7

产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

图片

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

图片

360本地安全大脑

360本地安全大脑是将360云端安全大脑核心能力本地化部署的一套开放式全场景安全运营平台,实现安全态势、监控、分析、溯源、研判、响应、管理的智能化安全运营赋能。360本地安全大脑已支持对相关漏洞利用的检测,请及时更新网络神经元(探针)规则和本地安全大脑关联分析规则,做好防护。

图片

8

时间线

2021-04-27 Apache OBFiz发布安全通告

2021-04-28 360CERT发布通告

9

参考链接

1、 CVE-2021-29200

https://www.mail-archive.com/announce@apache.org/msg06506.html

2、 CVE-2021-30128

https://www.mail-archive.com/announce@apache.org/msg06507.html

10

特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。

Apache OFBiz远程代码执行漏洞通告

http://pub-shbt.s3.360.cn/cert-public-file/【360CERT】Apache_OFBiz远程代码执行漏洞通告.pdf

若有订阅意向与定制需求请扫描下方二维码进行信息填写,或发送邮件至g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

图片

转载自https://mp.weixin.qq.com/s/vfDVLtjtV9Mn0Rq5RNveSg

admin-r꯭o꯭ot꯭
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
博客
攻防演练案例讲溯源
07-18 4918
攻防演练的目的是什么?往小了说是为了提高员工网络安全意识,保障客户信息不外泄。往大了说是为了提升国家网络安全实力,保护公民个人信息财产安全。
博客
从CTF比赛真题中学习压缩包伪加密与图片隐写术【文中工具已打包】
03-29 6588
先讲个笑话,刚刚打完MAR DASCTF明御攻防赛,一如往常,很轻松便拿到了两个flag(签到与问卷),哈哈,一个脑细胞都不用消耗本文知识点:遇到加密压缩文件怎么办遇到图片隐写的几种验证方法十六进制数据还原文件大佬就不用看了,全是小白操作这是一道misc题,结合了压缩包伪加密与图片隐写技术,我们就以它为例学习一下这两种常见技术的解决方法就是这个压缩文件,后面带*说明需要密码,但是题中没有任何密码提示,ctf中不可能让你无脑爆破,因为时间是有限的,但也有可能是弱口令,反正无从下手先爆破一
博客
【防守方基础】危险报文识别
03-10 7364
声明:本文介绍的技术仅供网络安全技术人员及白帽子使用,任何个人或组织不可传播使用相关技术及工具从事违法犯罪行为,一经发现直接上报国家安全机关处理,著作权归爱国小白帽所有信息泄露类这种情况是最常见的,也是最难以捕获的,因为它也许不用攻击数据就能轻易获取,尤其是报错或探针页面,配置不当可能泄露很多东西别看它危害小,但往往某个不起眼的信息就可以改变战局命令执行类此类攻击多以echo、curl、wget、cd、ping、cat、ls等命令出现,还是很好辨认的在GET参数中执行命令在POST.
博客
HoneyDrive_3蜜罐系统的安装部署及使用指南
01-27 6157
HoneyDrive是主要的蜜罐Linux发行版。它是安装了Xubuntu Desktop 12.04.4 LTS版的虚拟设备(OVA)。它包含10多个预安装和预配置的蜜罐软件包,例如Kippo SSH蜜罐,Dionaea和Amun恶意软件蜜罐,Honeyd低交互蜜罐,Glastopf Web蜜罐和Wordpot,Conpot SCADA / ICS蜜罐,Thug和PhoneyC honeyclients等。此外,它包括许多有用的预配置脚本和实用程序,以分析,可视化和处理它可以捕获的数据,例如Kipp.
博客
30余种加密编码类型的密文特征分析(建议收藏)
11-11 4万+
一、md5一般MD5值是32位由数字“0-9”和字母“a-f”所组成的字符串,如图。如果出现这个范围以外的字符说明这可能是个错误的md5值,就没必要再拿去解密了。16位值是取的是8~24位。md5的三个特征:确定性:一个原始数据的MD5值是唯一的,同一个原始数据不可能会计算出多个不同的MD5值。碰撞性:原始数据与其MD5值并不是一一对应的,有可能多个原始数据计算出来的MD5值是一样的,这就是碰撞。不可逆:也就是说如果告诉你一个MD5值,你是无法通过它还原出它的原始数据的,这不是你的技术不够牛,
博客
网络安全相关行业必备网站(持续更新中)
10-14 8840
更新时间:2020年10月22日11:37:29更新内容:更新了码农常用工具直达目录信息收集类搜索引擎指纹识别whois查询子域名爆破端口扫描综合查询身份信息泄露查询威胁情报C段查询:[webscan.cc](https://webscan.cc)加密解密类md5base64站长工具:[tool.chinaz.com](http://tool.chinaz.com/Tools/Unicode.aspx)零宽隐写:[yuanfux.github.io](https://yuanfux.github.i.
博客
企业级内网的域控环境搭建3万字详细部署教程
03-29 6890
声明:本文介绍的技术仅供网络安全技术人员及白帽子使用,任何个人或组织不可传播使用相关技术及工具从事违法犯罪行为,一经发现直接上报国家安全机关处理实验环境:环境搭建:模拟实验:...
博客
企业级内网环境搭建2万字详细教程
03-25 9833
简单说明:环境需要四台虚拟机,每一台分别充当企业内不同的功能分区,在真实环境中的配置还需视情况自行更改内网搭建示意图目录指南所需设备:内网环境搭建:pfSense安装及使用说明基本安装过程主机端配置过程浏览器端安装过程测试主机之间的连通情况修改各服务器的IP配置检测网络连通情况设置dhcp为办公区分配IP更改防火墙规则只允许办公区上网设置防火墙规则允许全部机器上网设置防火墙规则使外网能访...
博客
一个简单的bat脚本便可实现局域网所有存活IP的精准扫描
03-23 4208
此脚本的扫描可在几秒钟之内完成脚本内容无需更改,如下:@echo offFOR /L %%I in (1,1,255) do ping 192.168.1.%%I -n 1 -w 100arp -a >C:\Users\Administrator\Desktop\1.txtexit保存后双击执行就会出现1.txt文件,里面会出现所有存活主机的IP...
博客
【专题文章导航】本篇收录了SQL注入、漏洞复现、后渗透、新增漏洞报告四个专题的所有文章
03-07 2115
SQL注入篇漏洞复现篇新增漏洞报告mysql 联合查询注入文件上传之js绕过【威胁通告】Apache Tomcat 文件包含漏洞(CVE-2020-1938)威胁通告对information_schema数据库的解析文件上传之mime绕过【威胁通告】微软 SQL Server 远程代码执行漏洞(CVE-2020-0618)威胁通告盲注iis6.0解析漏洞......
博客
PHITHON的公开漏洞 | 绝大部分php探针存在xss漏洞
08-10 1747
转载自:https://bugs.leavesongs.com/研究了一下市面上的php探针,发现同源现象较严重。首先发现了php雅黑探针(可以说是国内用的最多的探针了)的一些安全问题,由此各种php探针都躺枪了。就算非同源的php探针往往也容易出现这个问题,这里会给出一些例子。该问题影响范围较广,LNMP、WDCP等linux面板由于自带探针、UPUPW面板也自带探针,所以都躺枪了。简单搜集了一下,影响的探针不止有以下这些:php雅黑探针UenuProbe探针UPUPW PHP 探针B-Ch
博客
Apple任意代码执行漏洞通告
07-27 1141
报告编号:B6-2021-072701报告来源:360CERT报告作者:360CERT更新日期:2021-07-270x01 漏洞简述2021年07月27日,360CERT监测发现Apple发布了macOS、iOS、iPadOS远程代码执行漏洞的风险通告,漏洞编号为CVE-2021-30807,漏洞等级:高危,漏洞评分:8.5。macOS、iOS、iPadOS是Apple公司的操作系统,在全球拥有庞大的用户基数。这些操作系统中的IOMobileFrameBuffer内核拓展中存在一处任意代码.
博客
Windows Print Spooler服务最新漏洞CVE-2021-34527详细分析
07-09 1万+
0x00 前言近日,有安全研究员在github上公开了"CVE-2021-1675"的exp PrintNightmare,后经验证公开的exp是一个与CVE-2021-1675不同的漏洞,微软为其分配了新的编号CVE-2021-34527。这篇文章记录了CVE-2021-34527的复现过程,并对漏洞成因进行了简单的分析。0x01 漏洞复现这里记录域控环境下使用普通权限域账户实现RCE反弹nt authority\system shell的过程。下面的漏洞复现和漏洞分析都是基..
博客
漏洞情报 | WordPress ProfilePress插件多个严重漏洞
07-07 1152
​点击上方 订阅话题 第一时间了解漏洞威胁0x01 漏洞描述WordPress ProfilePress(原 WP User Avatar)是一个轻量级会员插件,可用于创建用户画像、会员目录和用于用户注册、登录、密码重置及用户信息编辑的前端表单。360漏洞云监测到WordPress ProfilePress插件存在多个严重漏洞。CVE-2021-34621 特权提升漏洞在用户注册过程中,攻击者可通过提供任意用户元数据实现权限提升。CVE-2021-34622 特权提升漏洞在用户画
博客
CVE-2021-35464: ForgeRock AM远程代码执行漏洞通告
07-06 1125
报告编号:B6-2021-063002报告来源:360CERT报告作者:360CERT更新日期:2021-06-300x01 漏洞简述2021年06月30日,360CERT监测发现portswigger发布了ForgeRock AM远程代码执行漏洞的漏洞分析报告,漏洞编号为CVE-2021-35464,漏洞等级:严重,漏洞评分:9.8。ForgeRock AM是一个开源的访问管理、权限控制平台,在大学、社会组织中存在广泛的应用。未经身份验证的攻击者可以通过构造特殊的请求远程执行任意代码,并接.
博客
【在野利用|PoC公开】CVE-2020-3580: Cisco ASA安全软件XSS漏洞通告
07-06 1067
报告编号:B6-2021-063001报告来源:360CERT报告作者:360CERT更新日期:2021-06-300x01 漏洞简述2021年06月30日,360CERT监测发现Cisco于6月28日发布了 思科自适应安全软件(ASA)和Firepower威胁防御(FTD)软件在野漏洞活跃的风险通告,漏洞编号为CVE-2020-3580,漏洞等级:中危,漏洞评分:6.1`。Cisco ASA软件、FTD软件是运行在Cisco设备上的通用软件,主要用于服务用户防御和监控网络内部的攻击。Ci.
博客
CVE-2021-30116: Kaseya VSA 远程代码执行漏洞通告
07-06 2440
报告编号:B6-2021-070601报告来源:360CERT报告作者:360CERT更新日期:2021-07-060x01 漏洞简述2021年07月06日,360CERT监测发现Kaseya发布了VSA管理软件的风险通告,漏洞等级:严重,漏洞评分:9.8。Kaseya VSA是一款企业用于集中IT管理的软件。分为管理端和用户端,管理端可以批量的控制用户端设备,例如在用户端设备上执行命令、执行脚本、开启/关闭电源等。根据其官方通告以及监测到的REvil利用VSA漏洞的勒索事件,VSA软件中.
博客
【EXP已验证】CVE-2021-34527: Windows Print Spooler 蠕虫级远程代码执行0day漏洞通告
07-02 1530
报告编号:B6-2021-062902报告来源:360CERT报告作者:360CERT更新日期:2021-07-021更新概览1.漏洞简述新增360CERT对CVE-2021-34527(PrintNightmare)的研判2.漏洞详情新增相关验证截图2漏洞简述2021年06月29日,360CERT监测发现安全研究人员在GitHub上公开了Windows Print Spooler 蠕虫级远程代码执行0day漏洞的EXP,漏洞等级:严重,漏洞评分:10.0。Windows Print
博客
零日漏洞 | 微软披露最新 Windows Print Spooler 远程代码执行漏洞(CVE-2021-34527)
07-02 1273
​点击上方 订阅话题 第一时间了解漏洞威胁0x01 漏洞描述Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中。360漏洞云监测到微软最新披露了一个新的Windows Print Spooler远程代码执行漏洞(CVE-2021-34527),微软已知该漏洞存在在野利用。该漏洞目前为零日状态,微软暂未发布修复。该漏洞源于Windows Print Spooler服务执行特权文件操作不当,攻击者可利用该漏洞以系统权限运行任意代码。攻击者可以安装
博客
【POC公开】CVE-2021-1675: Windows Print Spooler远程代码执行漏洞通告
06-30 837
报告编号:B6-2021-062902报告来源:360CERT报告作者:360CERT更新日期:2021-06-290x01 漏洞简述2021年06月29日,360CERT监测发现安全研究人员在GitHub上公开了Windows Print Spooler远程代码执行漏洞的POC,漏洞编号为CVE-2021-1675,漏洞等级:严重,漏洞评分:7.8。Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中,攻击者可以通过该漏洞绕过PfcAddP.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值