信息來(lái)源:國(guó)家互聯(lián)網(wǎng)應(yīng)急中心
2017年9月14日,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了JBOSS Application Server反序列化命令執(zhí)行漏洞(CNVD-2017-33724����,對(duì)應(yīng)CVE-2017-12149),遠(yuǎn)程攻擊者利用漏洞可在未經(jīng)任何身份驗(yàn)證的服務(wù)器主機(jī)上執(zhí)行任意代碼����。漏洞細(xì)節(jié)和驗(yàn)證代碼已公開(kāi),近期被不法分子利用出現(xiàn)大規(guī)模攻擊嘗試的可能性較大����。
一����、漏洞情況分析
JBOSS Application Server是一個(gè)基于J2EE的開(kāi)放源代碼的應(yīng)用服務(wù)器���。 JBoss代碼遵循LGPL許可����,可以在任何商業(yè)應(yīng)用中免費(fèi)使用����,2006年,JBoss被Redhat公司收購(gòu)���。
2017年8月30日���,廠商Redhat發(fā)布了一個(gè)JBOSSAS 5.x 的反序列化遠(yuǎn)程代碼執(zhí)行漏洞通告。該漏洞位于JBoss的HttpInvoker組件中的 ReadOnlyAccessFilter 過(guò)濾器中���,其doFilter方法在沒(méi)有進(jìn)行任何安全檢查和限制的情況下嘗試將來(lái)自客戶(hù)端的序列化數(shù)據(jù)流進(jìn)行反序列化����,導(dǎo)致攻擊者可以通過(guò)精心設(shè)計(jì)的序列化數(shù)據(jù)來(lái)執(zhí)行任意代碼���。但近期有安全研究者發(fā)現(xiàn)JBOSSAS 6.x也受該漏洞影響����,攻擊者利用該漏洞無(wú)需用戶(hù)驗(yàn)證在系統(tǒng)上執(zhí)行任意命令,獲得服務(wù)器的控制權(quán)����。CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高?���!薄?
二���、漏洞影響范圍
該漏洞影響5.x和6.x版本的JBOSSAS����。目前評(píng)估潛在受影響主機(jī)數(shù)量超過(guò)5000臺(tái)���。
三����、防護(hù)建議
升級(jí)到JBOSS AS7
臨時(shí)解決方案:
1. 不需要 http-invoker.sar 組件的用戶(hù)可直接刪除此組件���。
2. 添加如下代碼至 http-invoker.sar 下 web.xml 的 security-constraint 標(biāo)簽中:
<url-pattern>/*</url-pattern>
用于對(duì) http invoker 組件進(jìn)行訪問(wèn)控制����。
附:參考鏈接:
https://access.redhat.com/security/cve/cve-2017-12149
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12149
http://www.cnvd.org.cn/flaw/show/CNVD-2017-33724
