重大预警 | JbossAS 5.x/6.x 反序列化命令执行漏洞,铱迅WAF可防护
JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。 JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用,2006年,JBoss被Redhat公司收购。
2017年8月30日,厂商Redhat发布了一个JBOSSAS 5.x 的反序列化远程代码执行漏洞通告。该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。但近期有安全研究者发现JBOSSAS 6.x也受该漏洞影响,攻击者利用该漏洞无需用户验证在系统上执行任意命令,获得服务器的控制权。官方对该漏洞的综合评级为“高危”。
漏洞编号:
CVE-2017-12149
漏洞名称:
JBossAS 5.x/6.x反序列化命令执行漏洞
官方评级:
高危
漏洞影响范围:
该漏洞影响5.x和6.x版本的JBOSSAS,目前评估潜在受影响主机数量超过5000台。
防护建议:
1、铱迅用户请升级规则至最新版本,铱迅WAF可防护:
http://update.yxlink.com/index.php/Home-Index-updateList-id-107.html
2、非铱迅用户,请参考以下处理方式:
2.1、升级到JBOSS AS7;
2.2、不需要 http-invoker.sar 组件的用户可直接删除此组件;
2.3、添加如下代码至 http-invoker.sar 下 web.xml 的 security-constraint 标签中:
<url-pattern>/*</url-pattern>
用于对 http invoker 组件进行访问控制。
参考链接:
https://access.redhat.com/security/cve/cve-2017-12149
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12149
http://www.cnvd.org.cn/flaw/show/CNVD-2017-33724
南京铱迅信息技术股份有限公司(股票代码:832623,简称:铱迅信息)是中国的一家专业从事网络安全与服务的高科技公司。总部位于江苏省南京市中国软件谷,在全国超过20个省市具有分支机构。凭借着高度的民族责任感和使命感,自主研发,努力创新,以“让网络更安全”为理念,以“让客户更安全”为己任,致力成为在网络安全领域具有重大影响的企业。