研究人员重提影响广泛的 Java 工具集 RCE 漏洞

oschina
 oschina
发布于 2015年11月08日
收藏 9

一月份,安全研究人员Gabriel Lawrence和Chris Frohoff公布了一个影响范围相当广的Apache Commons工具集远程代码执行(RCE)漏洞,由于Apache Commons工具集几乎是JAVA技术平台中应用的最广泛的工具库,因此影响几乎遍及整个JAVA阵营。但是由于漏洞非常高深且难以理解,尽管研究人 员们尽了最大的努力呼吁人们引起注意,在漏洞公开后近乎一年内该问题仍未得到广泛重视。近日,知名博客Matthias Kaiser在节目中重谈该问题,并让Foxglove安全公司的Steve Breen通过快速演示来让了解该RCE漏洞的危害性。

http://static.cnbetacdn.com/article/2015/1107/108a4b1010ad6b4.jpg

在 演示中,Breen通过Apache Commons工具集RCE漏洞快速破解了数个应用,包括WebLogic,IBM WebSphere, JBoss, Jenkins和OpenNMS在内的应用,这些应用都大量调用了Commons工具集,通过远程代码执行能够对这些应用发起远程攻击。虽然Apache Commons工具集并不是Java核心之一,但由于JAVA中需要通过调用Apache Commons工具集等Java库进行“对象的反串行化处理(object deserialization operations)”,同时能够不被作为第三方工具对待,由于在Java中串行化和反串行化数据是被最普遍使用的实例,Apache Commons工具集又几乎是JAVA技术平台中应用的最广泛的工具库,因此影响可谓非常广。最新的Apache  Commons工具集库仍为2013年11月发布的4.0版本,Breen为该漏洞提供了一个较简陋的修复,但是遗憾的是并不能作为完美解决方案。 Breen也承认自己的修复有点简陋,希望该漏洞能够引起更多人的重视。

转载自:cnbeta.com

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:研究人员重提影响广泛的 Java 工具集 RCE 漏洞
加载中

最新评论(7

蓝水晶飞机
蓝水晶飞机

引用来自“蓝水晶飞机”的评论

SF JSON依赖了呢,要换掉吗。、

引用来自“logicbaby”的评论

sf json慢到死,你随便测试对比下其他json库。。。
嗯很久测试过知道的,一直没换掉而已。
l
logicbaby

引用来自“蓝水晶飞机”的评论

SF JSON依赖了呢,要换掉吗。、
sf json慢到死,你随便测试对比下其他json库。。。
ginkgo_w
ginkgo_w
http://news.softpedia.com/news/the-vulnerability-that-will-rock-the-entire-java-world-495840.shtml

最新的,不是库有问题,是数据有问题。
蓝水晶飞机
蓝水晶飞机
SF JSON依赖了呢,要换掉吗。、
NestleCaau
NestleCaau
commons-collections 我擦,翻译个毛线啊,完全看不懂.
sharper
sharper
换google的
zigzagroad
zigzagroad
common-utils ?
返回顶部
顶部