漏洞复现之JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)
漏洞复现之JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)
前言:
序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。
Java
中的ObjectOutputStream类
的writeObject()方法
可以实现序列化,ObjectInputStream类
的readObject()方法
用于反序列化。
问题的根源在于类ObjectInputStream
在反序列化时,没有对生成的对象的类型做限制。
pache Commons Collections
是一个扩展了Java标准库
里的Collection结构
的第三方基础库,它提供了很多强有力的数据结构类型并且实现了各种集合工具类。
首先这个漏洞与CVE-2015-7501
一样,都是利用了Apache Commons Collect