JBossAS 5.x和6.x系统存在远程代码执行漏洞
1. 漏洞描述8月30日,Red Hat公司发布了一篇关于“JBossAS 5.x系统的远程代码执行严重漏洞”的通告,CVE编号为CVE-2017-12149。近期有安全研究人员发现JBossAS 6.x也受该漏洞影响。攻击者可能利用此漏洞无需用户验证在系统上执行任意命令。近期,漏洞利用工具已经在互联网上传播。2. 漏洞危害严重3. 影响版本JBossAs 5.x 6.x4. 漏洞利用前置条件无5. 风险等级安恒信息应急响应中心将此漏洞安全风险定级为: 紧急6. 漏洞分析JBossAS 5.x及JBossAS 6.x的自带应用的http-invoker.sar中存在一个ReadOnlyAccessFilter,如下图所示:反编译org.jboss.invocation.http.servlet.ReadOnlyAccessFilter.class如下图:该filter在做过滤的时候直接将HTTP请求post中的内容未做任何检查就将其反序列化成对象,导致可以执行任意代码。7. 漏洞自查访问http://ip:port/invoker/readonly如出现500状态码错误,则表示漏洞存在。修复建议1. 临时缓解措施目前官网已经不对存在漏洞版本进行维护,故建议使用以下方法进行修复:a )在对应jboss下删除 /server/default/deploy/http-invoker.sar/路径下的invoker.war;b )手动添加到http-invoker.sar下web.xml;c )使用第三方Web应用防火墙进行防护。- END -
页:
[1]