登录  免费注册
当前位置:首页 > 安全公告 > 正文

关于近期Java反序列化漏洞跟踪和威胁风险普查的情况通报

2015-12-17 15:29:12
安全公告编号:CNTA-2015-0028

近期,国家信息安全漏洞共享平台(CNVD)对Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞(编号:CNVD-2015-07556,又称“java反序列化漏洞”)进行了跟踪和威胁风险普查。该漏洞影响多款应用广泛的Web容器软件。远程攻击者利用漏洞可在目标系统上执行任意代码,危害较大的可以取得网站服务器控制权。相关情况如下:

一、漏洞情况分析

Apache Commons包含了多个开源工具的工具集,用于解决编程经常遇到的问题,减少重复劳动。由于Apache CommonsCollections组件的Deserialize功能存在的设计漏洞,CommonsCollections组件中对于集合的操作存在 可以进行反射调用的方法,且该方法在相关对象反序列化时并未进行任何校验,远程攻击者利用漏洞可发送特殊的数据给应用程序或给使用包含Java 'InvokerTransformer.class'序列化数据的应用服务器,在目标服务器当前权限环境下执行任意代码。CNVD对该漏洞的综合评级为 “高危”。

二、漏洞影响范围

Apache Commons工具集广泛应用于JAVA技术平台,WebLogic、WebSphere、JBoss、Jenkins等Web容器应用都大量调用了Commons工具集,通过远程代码执行可对上述应用发起远程攻击。截至12月初,CNVD对互联网上应用上述四类Web应用的分布情况和受漏洞影响进行了探测,分别探得全球有40169台主机使用Jboss软件,有9572台主机使用weblogic软件,有20600台主机使用jenkins软件,有29975台主机使用websphere软件。根据对境内主机IP的测试情况,Jboss、Weblogic、Jenkins受到漏洞影响的未修复比例分别是13.9%、50.4%、33.4%;从绝对数量看,Weblogic受到影响的数量最多。详情见附表1至附表9。

三、漏洞修复建议

用户可参考如下厂商提供的安全公告获取修复方案: http://svn.apache.org/viewvc?view=revision&revision=1713307。近期,CNVD处置了数十起涉及政府部门、重要信息系统行业单位的Java反序列化通用漏洞案例。

参考链接:

http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/#jboss

http://www.cnvd.org.cn/flaw/show/CNVD-2015-07556

附件:

表1 Jboss全球应用情况Top 10

排序

国家

数量

1

美国

18004

2

中国

6670

3

巴西

2671

4

德国

1262

5

印度

1210

6

法国

1002

7

英国

851

8

加拿大

748

9

韩国

621

10

意大利

581

表2 Jboss国内应用情况TOP 10

排序

国家

数量

1

浙江省

1335

2

北京市

1106

3

广东省

801

4

上海市

684

5

江苏省

388

6

台湾地区

369

7

福建省

296

8

香港特别行政区

244

9

山东省

219

10

河南省

189

表3 weblogic全球应用情况TOP 10

排序

国家

数量

1

中国

4470

2

美国

3969

3

韩国

316

4

英国

293

5

瑞典

279

6

加拿大

208

7

台湾

195

8

日本

166

9

西班牙

159

10

印度

143

表4Weblogic国内应用情况TOP 10

排序

国家

数量

1

北京市

1111

2

广东省

631

3

上海市

404

4

浙江省

371

5

江苏省

260

6

台湾地区

195

7

山东省

173

8

辽宁省

155

9

河南省

106

10

陕西省

95

表5 Jenkins全球应用情况TOP 10

排序

国家

数量

1

美国

11944

2

德国

1481

3

英国

904

4

荷兰

900

5

法国

712

6

中国

647

7

日本

558

8

加拿大

326

9

韩国

230

10

俄罗斯

199

表6 Jenkins国内应用情况TOP10

排序

国家

数量

1

浙江省

300

2

北京市

158

3

台湾地区

81

4

广东省

53

5

上海市

53

6

香港特别行政区

29

7

山东省

16

8

广西壮族自治区

16

9

江苏省

10

10

四川省

6

表7 Websphere全球应用情况TOP 10

排序

国家

数量

1

日本

20309

2

美国

4128

3

中国

2646

4

德国

264

5

加拿大

214

6

波兰

205

7

英国

204

8

印度

183

9

意大利

173

10

荷兰

126

表8 Websphere 国内应用情况TOP 10

排序

国家

数量

1

北京市

624

2

上海市

388

3

广东省

341

4

江苏省

337

5

浙江省

173

6

台湾地区

103

7

山东省

90

8

福建省

85

9

香港特别行政区

81

10

湖北省

67

表9 国内服务器IP应用识别和威胁普查情况表

服务器类型

应用识别数量

受漏洞影响数量

受影响比例

Jboss

6670

926

13.9%

Weblogic

4470

2252

50.4%

Websphere

2646

0

0%

Jenkins

647

216

33.4%

合计

14433

3394

23.5%

(编辑:CNVD) | 已有2条评论

评论

2015-12-31 毛毛 毛毛
<img src="/images/pinglun.png">
2015-12-23 你好 你好
?
登录 后才能发表评论
已有2条评论