安全人員重提Java工具集RCE漏洞
責(zé)編:mhshi |2015-11-10 10:41:08一月份,安全研究人員Gabriel Lawrence和Chris Frohoff公布了一個(gè)影響范圍相當(dāng)廣的Apache Commons工具集遠(yuǎn)程代碼執(zhí)行(RCE)漏洞,由于Apache Commons工具集幾乎是JAVA技術(shù)平臺(tái)中應(yīng)用的最廣泛的工具庫(kù),因此影響幾乎遍及整個(gè)JAVA陣營(yíng)。但是由于漏洞非常高深且難以理解,盡管研究人 員們盡了最大的努力呼吁人們引起注意,在漏洞公開(kāi)后近乎一年內(nèi)該問(wèn)題仍未得到廣泛重視。近日,知名博客Matthias Kaiser在節(jié)目中重談該問(wèn)題,并讓Foxglove安全公司的Steve Breen通過(guò)快速演示來(lái)讓了解該RCE漏洞的危害性。
在演示中,Breen通過(guò)Apache Commons工具集RCE漏洞快速破解了數(shù)個(gè)應(yīng)用,包括WebLogic,IBM WebSphere, JBoss, Jenkins和OpenNMS在內(nèi)的應(yīng)用,這些應(yīng)用都大量調(diào)用了Commons工具集,通過(guò)遠(yuǎn)程代碼執(zhí)行能夠?qū)@些應(yīng)用發(fā)起遠(yuǎn)程攻擊。雖然Apache Commons工具集并不是Java核心之一,但由于JAVA中需要通過(guò)調(diào)用Apache Commons工具集等Java庫(kù)進(jìn)行“對(duì)象的反串行化處理(object deserialization operations)”,同時(shí)能夠不被作為第三方工具對(duì)待,由于在Java中串行化和反串行化數(shù)據(jù)是被最普遍使用的實(shí)例,Apache Commons工具集又幾乎是JAVA技術(shù)平臺(tái)中應(yīng)用的最廣泛的工具庫(kù),因此影響可謂非常廣。最新的Apache Commons工具集庫(kù)仍為2013年11月發(fā)布的4.0版本,Breen為該漏洞提供了一個(gè)較簡(jiǎn)陋的修復(fù),但是遺憾的是并不能作為完美解決方案。Breen也承認(rèn)自己的修復(fù)有點(diǎn)簡(jiǎn)陋,希望該漏洞能夠引起更多人的重視。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧