NEWS
公司新闻 安全播报 公司专题

预警 | JBossAS 5.x和6.x系统存在远程代码执行漏洞

来源: 时间:2017-11-24 00:00:00 作者:  浏览:659 次

1. 漏洞描述

8月30日,Red Hat公司发布了一篇关于“JBossAS 5.x系统的远程代码执行严重漏洞”的通告,CVE编号为CVE-2017-12149。近期有安全研究人员发现JBossAS 6.x也受该漏洞影响。攻击者可能利用此漏洞无需用户验证在系统上执行任意命令。近期,漏洞利用工具已经在互联网上传播。

2. 漏洞危害

严重

3. 影响版本

JBossAs 5.x 6.x

4. 漏洞利用前置条件

5. 风险等级

安恒信息应急响应中心将此漏洞安全风险定级为: 紧急

6. 漏洞分析

JBossAS 5.x及JBossAS 6.x的自带应用的http-invoker.sar中存在一个ReadOnlyAccessFilter,如下图所示:

反编译

org.jboss.invocation.http.servlet.ReadOnlyAccessFilter.class


如下图:


该filter在做过滤的时候直接将HTTP请求post中的内容未做任何检查就将其反序列化成对象,导致可以执行任意代码。

7. 漏洞自查

访问http://ip:port/invoker/readonly

如出现500状态码错误,则表示漏洞存在。

修复建议

1. 临时缓解措施

目前官网已经不对存在漏洞版本进行维护,故建议使用以下方法进行修复:

a )

在对应jboss下删除 /server/default/deploy/http-invoker.sar/路径下的invoker.war;

b )

手动添加<url-pattern>/*</url-pattern>到http-invoker.sar下web.xml;

c )

使用第三方Web应用防火墙进行防护。

- END -

杭州安恒信息技术股份有限公司 版权所有 © 2007-2018 浙ICP备09102757号 浙公网安备33010802003444号 | 法律声明 | 隐私保护 |