专栏首页安恒信息预警 | JBossAS 5.x和6.x系统存在远程代码执行漏洞

预警 | JBossAS 5.x和6.x系统存在远程代码执行漏洞

1. 漏洞描述

8月30日,Red Hat公司发布了一篇关于“JBossAS 5.x系统的远程代码执行严重漏洞”的通告,CVE编号为CVE-2017-12149。近期有安全研究人员发现JBossAS 6.x也受该漏洞影响。攻击者可能利用此漏洞无需用户验证在系统上执行任意命令。近期,漏洞利用工具已经在互联网上传播。

2. 漏洞危害

严重

3. 影响版本

JBossAs 5.x 6.x

4. 漏洞利用前置条件

5. 风险等级

安恒信息应急响应中心将此漏洞安全风险定级为: 紧急

6. 漏洞分析

JBossAS 5.x及JBossAS 6.x的自带应用的http-invoker.sar中存在一个ReadOnlyAccessFilter,如下图所示:

反编译

org.jboss.invocation.http.servlet.ReadOnlyAccessFilter.class

如下图:

该filter在做过滤的时候直接将HTTP请求post中的内容未做任何检查就将其反序列化成对象,导致可以执行任意代码。

7. 漏洞自查

访问http://ip:port/invoker/readonly

如出现500状态码错误,则表示漏洞存在。

修复建议

1. 临时缓解措施

目前官网已经不对存在漏洞版本进行维护,故建议使用以下方法进行修复:

a )

在对应jboss下删除 /server/default/deploy/http-invoker.sar/路径下的invoker.war;

b )

手动添加<url-pattern>/*</url-pattern>到http-invoker.sar下web.xml;

c )

使用第三方Web应用防火墙进行防护。

- END -

本文分享自微信公众号 - 安恒信息(DBAPP2013)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-11-24

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 安全漏洞公告

    1.Dell GoAhead Web Server 登录页表单拒绝服务漏洞 Dell GoAhead Web Server 登录页表单拒绝服务漏洞发布时间:20...

    安恒信息
  • [S2-045]紧急预警!安恒研究院发现史上最严重的Struts2安全漏洞

    近日,安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现著名J2EE框架——Struts2存在远程代码执行的严重漏洞。目前Struts2官...

    安恒信息
  • 安全漏洞公告

    Dell OpenManage Server Administrator 'file'参数开放重定向漏洞 Dell OpenManage Server Admi...

    安恒信息
  • 渗透的路还有很长,我们一直在前行

    其实想写这篇文章很久了,奈何工作比较饱和,涉事单位迟迟没有修复,所以就一直没写,今天接到通知,漏洞已经修复了,所以本着从实战角度出发,不忘记自己对技术的热爱,回...

    辞令
  • Python自动化运维之Keepalived

    海仔
  • 谷歌限制华为安卓合作,余承东透露华为欲布局自研操作系统

    谷歌一位发言人在接受采访时表示,“我们正在遵守这一命令,并评估其影响。”但他没有透漏更多消息。

    新智元
  • Android最佳性能实践(二)——分析内存的使用情况

    由于Android是为移动设备开发的操作系统,我们在开发应用程序的时候应当始终把内存问题充分考虑在内。虽然Android系统拥有垃圾自动回收机制,但这并不意味着...

    用户1158055
  • Idea_学习_01_Idea激活

    1. (推荐) 弹窗中选择最后一个页面license server,填入下面一种链接即可

    shirayner
  • 【风险通告】FastAdmin会员中心Getshell漏洞

    您好,近日,Fastadmin 前台被曝存在 getshell 漏洞。攻击者可利用该漏洞传入包含指定路径的后门文件,进而获取应用控制权限。

    腾讯云-MSS服务
  • 蓝图已经画好了?透过“Q”看未来Android手机发展

    5月8日凌晨,Google I/O开发者大会在美国加利福尼亚州山景城举行。本次开发者大会最引人关注的,莫过于安卓Q的正式发布了,因为相比于所谓的“安卓标杆”(然...

    Android技术干货分享

扫码关注云+社区

领取腾讯云代金券