阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 14641阅读
  • 1回复

[安全漏洞公告专区]【漏洞公告】CVE-2017-15708:Apache Synapse远程代码执行漏洞

级别: 论坛版主
发帖
241
云币
478
Rm RV8 WJ6  
近日,Apache Synapse发布了新版本修复了一个远程代码执行漏洞(CVE-2017-15708)。该漏洞源于Apache Commons Collections组件,攻击者可以通过注入特制的序列化对象来远程执行代码。 (Cq-8**dY  
kxP6#8*:  
Vf@/}=X *  
Apache Synapse是什么? \8pbPo=x  
大多数公司热衷于将它们现有的中间件转换为先进的 SOA服务体系架构,通常这需要花费很大的代价。Apache Synapse 是一个简单的、高质量开放源代码的替代方法,为实现 SOA 提供了一种途径,它可以公开现有的应用程序,而无需重新编写任何代码。 S$#Awen"@  
M]W4S4&Y=  
A-~)7-  
Apache Synapse是一个轻量级且高性能的企业服务总线(ESB)。 Apache Synapse由快速异步中介引擎提供支持,为XML,Web服务和REST提供了卓越的支持。 除了XML和SOAP,Apache Synapse还支持其他几种内容交换格式,如纯文本,二进制,Hessian和JSON。 可用于Synapse的各种传输适配器使其能够通过许多应用层和传输层协议进行通信。 截至目前,Apache Synapse支持HTTP / S,邮件(POP3,IMAP,SMTP),JMS,TCP,UDP,VFS,SMS,XMPP和FIX。 oH;Y}h  
WRgz]=W3w  
R[Rs2eS_  
具体详情如下: vH=I#Ajar  

4e:hKv,+4  
漏洞编号: 3lJK[V{'#'  
CVE-2017-15708 ;8A_- $  
漏洞名称: O~D}&M@/R  
Apache Synapse远程代码执行漏洞 t!~mbx+  
官方评级: [7B&<zY/?  
高危 :sn}D~  
漏洞描述: 5t PmrWZ  
该漏洞存在于Apache Commons Collections组件,攻击者可以通过注入特制的序列化对象来远程执行代码。 eBP N[V  
漏洞利用条件和方式: wCdUYgsPT"  
通过PoC直接远程利用。 "XH]B  
PoC状态: !is8`8F8  
未公开 n"Ev25%  
漏洞影响范围: f[z#=zv  
Apache Synapse version < 3.0.1 -?GYW81Q  
漏洞检测: ve>8vw2  
开发人员检查是否使用了受影响版本范围内的Apache Synapse软件。 'r-a:8:t^  
漏洞修复建议(或缓解措施): `aC#s3[  
Apache Synapse官方已经发布了最新的3.0.1版本修复了该漏洞,请受影响的用户尽快升级到最新版本进行防护。 osnDW aN  
情报来源: k<St:X%.O  
!?KY;3L:  
  • http://www.openwall.com/lists/oss-security/2017/12/10/4?from=timeline
  • https://commons.apache.org/proper/commons-collections/security-reports.html
h+vKai  
aC:rrS  
Fa;CWyt  
EswM#D 9(4  
\Q#F&q0  
$u`;{8  
Z,!Rj7wZ  
L-MpdC  
[H"Ods~_`  
?.4u'Dkn=  
l lQ<x  
VJ wzYl   
\tQRyj\|  
~#g Vs*K  
级别: 新人
发帖
1
云币
1
只看该作者 沙发  发表于: 2017-12-13
Re【漏洞公告】CVE-2017-15708Apache Synapse远程代码执行漏洞
由于是出现在 RMI 的反序列漏洞,如果用户使用的 Java 的版本高于 8u121,7u131,6u141 也不会受到该漏洞的影响,因为在后面的版本加入了反序列化过滤机制。
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)