關于Apache Synapse存在遠程代碼執行漏洞的安全公告
發布時間:2017-12-122017年12月11日,國家信息安全漏洞共享平臺(CNVD)收錄了 Apache Synapse遠程代碼執行漏洞(CNVD-2017-36700,對應CVE-2017-15708)。攻擊者可利用上述漏洞通過注入特制的序列化對象遠程執行代碼。
一、漏洞情況分析
Apache Synapse是一個簡單的、高質量開放源代碼的替代方法,為實現 SOA 提供了一種途徑,它可以公開現有的應用程序,而無需重新編寫任何代碼。
近日,Apache Synapse發布了新版本修復的一個遠程代碼執行漏洞(CVE-2017-15708)。該漏洞源于Apache Commons Collections庫包含“functor”包中的各個類可被序列化所致。攻擊者可以通過注入特制的序列化對象,并在其類路徑中包含Apache Commons Collections庫,且不執行任何類型的輸入驗證,導致可遠程執行代碼。CNVD對該漏洞的綜合評級為“高危”。
二、漏洞影響范圍
漏洞影響Apache Synapse 3.0.1之前的所有版本。
三、防護建議
Apache Synapse官方已經發布了最新的3.0.1版本修復該漏洞,請受影響的用戶盡快升級到最新版本:http://synapse.apache.org/download/3.0.1/download.cgi。
附:參考鏈接:
http://www.openwall.com/lists/oss-security/2017/12/10/4
http://synapse.apache.org/index.html
http://www.cnvd.org.cn/flaw/show/CNVD-2017-36700
注:CNVD技術組成員單位綠盟科技公司提供了相關技術支持。
