【漏洞预警】CNNVD 关于Apache Synapse 远程代码执行漏洞情况的通报

admin 2021年12月2日00:53:06cnnvd_warn评论11 次浏览阅读模式

        近日,国家信息安全漏洞库(CNNVD)收到关于Apache Synapse 远程代码执行漏洞(CNNVD-201710-1018)情况的报送。攻击者可利用该漏洞通过注入恶意的序列化对象执行远程代码,Apache Synapse 3.0.0, 2.1.0, 2.0.0, 1.2, 1.1.2, 1.1.1版本均受影响。目前Apache Synapse官方已发布最新版本修复该漏洞,建议受漏洞影响的用户及时安装相应软件的最新版本以避免受漏洞影响。

一、漏洞介绍

        Apache Synapse是美国阿帕奇(Apache)软件基金会的一款轻量级ESB(企业服务总线)。Apache Commons Collections是使用在其中的一个提供了Java集合框架的库。

        Apache Synapse 多个版本中存在远程代码执行漏洞(CNNVD-201710-1018、CVE-2017-15708)。Apache Synapse启动后会开启RMI服务(端口 1099),该漏洞是由于该服务使用较低版本的Apache Commons Collections 库,未对请求的对象进行类型校验,远程攻击者可通过注入特制的序列化对象利用该漏洞执行代码。

二、危害影响

        未经身份验证的远程攻击者可利用漏洞注入恶意序列化对象实现远程代码执行。Apache Synapse 3.0.0, 2.1.0, 2.0.0, 1.2, 1.1.2, 1.1.1版本均受影响。

三、修复建议

        目前Apache Synapse官方已发布最新版本修复该漏洞,建议受漏洞影响的用户及时安装相应软件的最新版本以避免受漏洞影响。

        针对Apache Synapse,建议更新至3.0.1版本,链接如下:

        http://synapse.apache.org/download/3.0.1/download.cgi

        本通报由360集团360CERT提供支持。

        CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

        联系方式: [email protected]

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月2日00:53:06
  • 转载请务必保留本文链接:http://zone.ci/archives/cnnvd/cnnvd_warn/2021/12/02/289.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: