预警 | JBossAS 5.x和6.x系统存在远程代码执行漏洞

1. 漏洞描述

8月30日，Red Hat公司发布了一篇关于“JBossAS 5.x系统的远程代码执行严重漏洞”的通告，CVE编号为CVE-2017-12149。近期有安全研究人员发现JBossAS 6.x也受该漏洞影响。攻击者可能利用此漏洞无需用户验证在系统上执行任意命令。近期，漏洞利用工具已经在互联网上传播。

2. 漏洞危害

严重

3. 影响版本

JBossAs 5.x 6.x

4. 漏洞利用前置条件

无

5. 风险等级

安恒信息应急响应中心将此漏洞安全风险定级为: 紧急

6. 漏洞分析

JBossAS 5.x及JBossAS 6.x的自带应用的http-invoker.sar中存在一个ReadOnlyAccessFilter，如下图所示：

反编译

org.jboss.invocation.http.servlet.ReadOnlyAccessFilter.class

如下图：

该filter在做过滤的时候直接将HTTP请求post中的内容未做任何检查就将其反序列化成对象，导致可以执行任意代码。

7. 漏洞自查

访问http://ip:port/invoker/readonly

如出现500状态码错误，则表示漏洞存在。

修复建议

1. 临时缓解措施

目前官网已经不对存在漏洞版本进行维护，故建议使用以下方法进行修复：

a ）

在对应jboss下删除 /server/default/deploy/http-invoker.sar/路径下的invoker.war；

b ）

手动添加<url-pattern>/*</url-pattern>到http-invoker.sar下web.xml；

c ）

使用第三方Web应用防火墙进行防护。

- END -