1. 漏洞描述
8月30日,Red Hat公司发布了一篇关于“JBossAS 5.x系统的远程代码执行严重漏洞”的通告,CVE编号为CVE-2017-12149。近期有安全研究人员发现JBossAS 6.x也受该漏洞影响。攻击者可能利用此漏洞无需用户验证在系统上执行任意命令。近期,漏洞利用工具已经在互联网上传播。
2. 漏洞危害
严重
3. 影响版本
JBossAs 5.x 6.x
4. 漏洞利用前置条件
无
5. 风险等级
安恒信息应急响应中心将此漏洞安全风险定级为: 紧急
6. 漏洞分析
JBossAS 5.x及JBossAS 6.x的自带应用的http-invoker.sar中存在一个ReadOnlyAccessFilter,如下图所示:
反编译
org.jboss.invocation.http.servlet.ReadOnlyAccessFilter.class
如下图:
该filter在做过滤的时候直接将HTTP请求post中的内容未做任何检查就将其反序列化成对象,导致可以执行任意代码。
7. 漏洞自查
访问http://ip:port/invoker/readonly
如出现500状态码错误,则表示漏洞存在。
修复建议
1. 临时缓解措施
目前官网已经不对存在漏洞版本进行维护,故建议使用以下方法进行修复:
a )
在对应jboss下删除 /server/default/deploy/http-invoker.sar/路径下的invoker.war;
b )
手动添加<url-pattern>/*</url-pattern>到http-invoker.sar下web.xml;
c )
使用第三方Web应用防火墙进行防护。
- END -