全部产品
Search
文档中心

【漏洞公告】CVE-2017-12149:JBossAS 5.x/6.x 反序列化命令执行漏洞

更新时间: 2018-05-10

2017年8月30日,Redhat公司发布了一个严重的JBossAS 5.x系统的远程代码执行漏洞公告,相应的漏洞编号为CVE-2017-12149。近期,有安全研究者发现JBossAS 6.x也受该漏洞影响,攻击者可能利用此漏洞在系统上执行任意命令,而无需用户验证。

漏洞详情见下文。


漏洞编号:

CVE-2017-12149

漏洞名称:

JBossAS 5.x/6.x反序列化命令执行漏洞

官方评级:

高危

漏洞描述:

该漏洞存在于JBossAS HttpInvoker组件中的ReadOnlyAccessFilter过滤器。该过滤器在没有进行任何安全检查的情况下,尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。

漏洞利用条件和方式:

通过PoC直接远程利用。

PoC状态:

已公开

漏洞影响范围:

JBossAS 5.x/6.x 版本

漏洞检测:

检查是否使用了受影响版本范围内的JBossAS。

漏洞修复建议(或缓解措施):

  • 如业务不需要使用http-invoker.sar组件,建议您直接删除该组件。

  • 手动添加以下代码至http-invoker.sar下web.xml文件中的security-constraint标签内,对http invoker组件进行访问控制:<url-pattern>/*</url-pattern>

情报来源:

https://access.redhat.com/security/cve/cve-2017-12149