<% dim ModuleName,InfoID,ChannelShortName,CorrelativeArticle,InstallDir,ChannelDir,Keyword,PageTitle,ArticleIntro,Articlecontent Keyword=stripHTML("JAVA,JAVA之殇,Java工具,RCE漏洞") PageTitle=stripHTML("JAVA之殇:一个影响广泛的Java工具集RCE漏洞") ArticleIntro=stripHTML("一月份,安全研究人员Gabriel Lawrence和Chris Frohoff公布了一个影响范围相当广的Apache Commons工具集远程代码执行(RCE)漏洞,由于Apache Commons") Articlecontent=stripHTML("          但是由于漏洞非常高深且难以理解,尽管研究人员们尽了最大的努力呼吁人们引起注意,在漏洞公开后近乎一年内该问题仍未得到广泛重视。近日,知名博客M…") ModuleName = stripHTML("exploits") InfoID = stripHTML("216757") ChannelShortName=stripHTML("漏洞") InstallDir=stripHTML("http://www.77169.com/") ChannelDir=stripHTML("exploits") %> JAVA之殇:一个影响广泛的Java工具集RCE漏洞 - 华盟网 - http://www.77169.com
您现在的位置: 华盟网 >> 漏洞 >> 网站漏洞 >> 正文

[图文]JAVA之殇:一个影响广泛的Java工具集RCE漏洞

2015/11/12 作者:0xroot 来源: 网络收集
导读 <% if len(ArticleIntro)<3 then Response.Write Articlecontent 'Response.Write "Articlecontent" else Response.Write ArticleIntro 'Response.Write "ArticleIntro" end if %>

       

  但是由于漏洞非常高深且难以理解,尽管研究人员们尽了最大的努力呼吁人们引起注意,在漏洞公开后近乎一年内该问题仍未得到广泛重视。近日,知名博客Matthias Kaiser在节目中重谈该问题,并让Foxglove安全公司的Steve Breen通过快速演示来让了解该RCE漏洞的危害性。

  在演示中,Breen通过Apache Commons工具集RCE漏洞快速破解了数个应用,包括WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS在内的应用,这些应用都大量调用了Commons工具集,通过远程代码执行能够对这些应用发起远程攻击

  虽然Apache Commons工具集并不是Java核心之一,但由于JAVA中需要通过调用Apache Commons工具集等Java库进行“对象的反串行化处理(object deserialization operations)”,同时能够不被作为第三方工具对待,由于在Java中串行化和反串行化数据是被最普遍使用的实例,Apache Commons工具集又几乎是JAVA技术平台中应用的最广泛的工具库,因此影响可谓非常广。

  最新的Apache Commons工具集库仍为2013年11月发布的4.0版本,Breen为该漏洞提供了一个较简陋的修复,但是遗憾的是并不能作为完美解决方案。Breen也承认自己的修复有点简陋,希望该漏洞能够引起更多人的重视。

  漏洞详情:

  http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/

  http://developers.slashdot.org/story/15/11/08/0346258/vulnerability-in-java-commons-library-leads-to-hundreds-of-insecure-applications

  EXP:

  GitHub https://github.com/foxglovesec



  • 上一篇漏洞:

  • 下一篇漏洞: 没有了