查看: 152360|回复: 503

研究人员重提影响广泛的Java工具集RCE漏洞

[复制链接]
  • TA的每日心情
    慵懒
    2024-12-2 09:11
  • 签到天数: 919 天

    [LV.10]以坛为家III

    发表于 2015-11-8 17:51:49 | 显示全部楼层 |阅读模式
    摘要:一月份,安全研究人员Gabriel Lawrence和Chris Frohoff公布了一个影响范围相当广的Apache Commons工具集远程代码执行(RCE)漏洞,由于Apache Commons工具集几乎是JAVA技术平台中应用的最广泛的工具库,因此影响几乎遍及整个JAVA阵营。但是由于漏洞非常高深且难以理解,尽管研究人 员们尽了最大的努力呼吁人们引起注意,在漏洞公开后近乎一年内该问题仍未得到广泛重视。近日,知名博客Matthias Kaiser在节目中重谈该问题,并让Foxglove安全公司的Steve Breen通过快速演示来让了解该RCE漏洞的危害性
    48FEF94AB7755153DC9BB37B33FF1501.jpg
    在演示中,Breen通过Apache Commons工具集RCE漏洞快速破解了数个应用,包括WebLogic,IBM WebSphere, JBoss, Jenkins和OpenNMS在内的应用,这些应用都大量调用了Commons工具集,通过远程代码执行能够对这些应用发起远程攻击。虽然Apache Commons工具集并不是Java核心之一,但由于JAVA中需要通过调用Apache Commons工具集等Java库进行“对象的反串行化处理(object deserialization operations)”,同时能够不被作为第三方工具对待,由于在Java中串行化和反串行化数据是被最普遍使用的实例,Apache Commons工具集又几乎是JAVA技术平台中应用的最广泛的工具库,因此影响可谓非常广。最新的Apache  Commons工具集库仍为2013年11月发布的4.0版本,Breen为该漏洞提供了一个较简陋的修复,但是遗憾的是并不能作为完美解决方案。Breen也承认自己的修复有点简陋,希望该漏洞能够引起更多人的重视。
    回复

    使用道具 举报

    该用户从未签到

    发表于 2015-11-9 15:40:22 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-11-10 08:40:08 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-11-10 15:20:41 | 显示全部楼层
    学习学习技术,加油!
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-11-10 18:44:48 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-11-11 00:32:31 | 显示全部楼层
    还是不错的哦,顶了
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-11-11 10:20:09 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-11-11 14:37:37 | 显示全部楼层
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-11-11 21:30:17 | 显示全部楼层
    支持中国红客联盟(ihonker.org)
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-11-12 15:00:57 | 显示全部楼层
    支持,看起来不错呢!
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-18 22:07 , Processed in 0.027865 second(s), 16 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部