UCloud-201711-005:JBOSSAS 5.x/6.x 反序列化命令执行漏洞安全预警 | U刻
  • UCloud-201711-005:JBOSSAS 5.x/6.x 反序列化命令执行漏洞安全预警

    栏目:安全资讯

    尊敬的UCloud用户:

    近日JbossAS被曝存在远程代码执行漏洞,攻击者可能利用此漏洞无需用户验证在系统上执行任意命令,目前漏洞利用方法已经曝光,危害严重。请及时检查您所使用的JbossAS 是否受影响,并采取安全防御措施。

    影响范围
    JbossAS 5.x

    JbossAS 6.x

    修复方案
    1、不需要 http-invoker.sar 组件的用户可直接删除此组件。
    2、添加如下代码至 http-invoker.sar 下 web.xml 的 security-constraint 标签中,对 http invoker 组件进行访问控制:
    <url-pattern>/*</url-pattern>

    3、使用UCloud主机入侵检测产品守护主机安全https://www.ucloud.cn/site/product/uhids.html

    漏洞详情

    CVE-2017-12149:Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中存在Java反序列化错误类型。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。

    参考链接

    5