投递人 itwriter 发布于 2015-11-09 13:10 原文链接 [收藏] « »

http://static.cnbetacdn.com/article/2015/1107/108a4b1010ad6b4.jpg

  一月份,安全研究人员 Gabriel Lawrence 和 Chris Frohoff 公布了一个影响范围相当广的 Apache Commons 工具集远程代码执行(RCE)漏洞,由于 Apache Commons 工具集几乎是 JAVA 技术平台中应用的最广泛的工具库,因此影响几乎遍及整个 JAVA 阵营。但是由于漏洞非常高深且难以理解,尽管研究人员们尽了最大的努力呼吁人们引起注意,在漏洞公开后近乎一年内该问题仍未得到广泛重视。近日,知名博客 Matthias Kaiser 在节目中重谈该问题,并让 Foxglove 安全公司的 Steve Breen 通过快速演示来让了解该 RCE 漏洞的危害性。

  在演示中,Breen 通过 Apache Commons 工具集 RCE 漏洞快速破解了数个应用,包括 WebLogic,IBM WebSphere, JBoss, Jenkins 和 OpenNMS 在内的应用,这些应用都大量调用了 Commons 工具集,通过远程代码执行能够对这些应用发起远程攻击。虽然 Apache Commons 工具集并不是 Java 核心之一,但由于 JAVA 中需要通过调用 Apache Commons 工具集等 Java 库进行“对象的反串行化处理(object deserialization operations)”,同时能够不被作为第三方工具对待,由于在 Java 中串行化和反串行化数据是被最普遍使用的实例,Apache Commons 工具集又几乎是 JAVA 技术平台中应用的最广泛的工具库,因此影响可谓非常广。最新的 Apache  Commons 工具集库仍为 2013 年 11 月发布的 4.0 版本,Breen 为该漏洞提供了一个较简陋的修复,但是遗憾的是并不能作为完美解决方案。 Breen 也承认自己的修复有点简陋,希望该漏洞能够引起更多人的重视。

 
来自: cnBeta
码云企业版,专注于助力企业开发 收藏 新浪微博 分享至微信
标签: Java

24小时阅读排行

    最新新闻

      相关新闻