關(guān)于Apache Synapse存在遠(yuǎn)程代碼執(zhí)行漏洞的安全公告
發(fā)布時(shí)間:2017-12-122017年12月11日,,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了 Apache Synapse遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2017-36700,對(duì)應(yīng)CVE-2017-15708),。攻擊者可利用上述漏洞通過(guò)注入特制的序列化對(duì)象遠(yuǎn)程執(zhí)行代碼,。
一、漏洞情況分析
Apache Synapse是一個(gè)簡(jiǎn)單的,、高質(zhì)量開(kāi)放源代碼的替代方法,,為實(shí)現(xiàn) SOA 提供了一種途徑,它可以公開(kāi)現(xiàn)有的應(yīng)用程序,,而無(wú)需重新編寫(xiě)任何代碼,。
近日,Apache Synapse發(fā)布了新版本修復(fù)的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-15708),。該漏洞源于Apache Commons Collections庫(kù)包含“functor”包中的各個(gè)類(lèi)可被序列化所致,。攻擊者可以通過(guò)注入特制的序列化對(duì)象,并在其類(lèi)路徑中包含Apache Commons Collections庫(kù),,且不執(zhí)行任何類(lèi)型的輸入驗(yàn)證,,導(dǎo)致可遠(yuǎn)程執(zhí)行代碼。CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高危”,。
二,、漏洞影響范圍
漏洞影響Apache Synapse 3.0.1之前的所有版本。
三,、防護(hù)建議
Apache Synapse官方已經(jīng)發(fā)布了最新的3.0.1版本修復(fù)該漏洞,,請(qǐng)受影響的用戶(hù)盡快升級(jí)到最新版本:http://synapse.apache.org/download/3.0.1/download.cgi。
附:參考鏈接:
http://www.openwall.com/lists/oss-security/2017/12/10/4
http://synapse.apache.org/index.html
http://www.cnvd.org.cn/flaw/show/CNVD-2017-36700
注:CNVD技術(shù)組成員單位綠盟科技公司提供了相關(guān)技術(shù)支持,。
