Jmeter RMI 反序列化命令执行漏洞

admin

0
文章

0
评论

2023-12-02 07:48:25 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

严重 Jmeter RMI 反序列化命令执行漏洞

CVE编号

CVE-2018-1297

利用情况

EXP 已公开

补丁情况

没有补丁

披露时间

2018-02-14

漏洞描述

Apache Jmeter是一款旨在为负载测试功能行为和测量性能的开源的Java应用程序。 Apache JMeter在分布式模式下使用不安全的RMI连接存在远程命令执行漏洞，攻击者可利用漏洞执行任意命令。

解决建议

目前没有详细的解决方案提供：http://mail-archives.apache.org/mod_mbox/www-announce/201802.mbox/%3CCAH9fUpaNzk5am8oFe07RQ-kynCsQv54yB-uYs9bEnz7tbX-O7g@mail.gmail.com%3E

参考链接
http://mail-archives.apache.org/mod_mbox/www-announce/201802.mbox/%3CCAH9fUpa...
https://bz.apache.org/bugzilla/show_bug.cgi?id=62039
https://lists.apache.org/thread.html/31e0adbeca9d865ff74d0906b2248a41a1457cb5...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	apache	jmeter	2.1	-
	运行在以下环境
	应用	apache	jmeter	2.10	-
	运行在以下环境
	应用	apache	jmeter	2.11	-
	运行在以下环境
	应用	apache	jmeter	2.12	-
	运行在以下环境
	应用	apache	jmeter	2.13	-
	运行在以下环境
	应用	apache	jmeter	2.2	-
	运行在以下环境
	应用	apache	jmeter	2.3	-
	运行在以下环境
	应用	apache	jmeter	2.3.1	-
	运行在以下环境
	应用	apache	jmeter	2.3.2	-
	运行在以下环境
	应用	apache	jmeter	2.3.3	-
	运行在以下环境
	应用	apache	jmeter	2.3.4	-
	运行在以下环境
	应用	apache	jmeter	2.4	-
	运行在以下环境
	应用	apache	jmeter	2.5	-
	运行在以下环境
	应用	apache	jmeter	2.5.1	-
	运行在以下环境
	应用	apache	jmeter	2.6	-
	运行在以下环境
	应用	apache	jmeter	2.7	-
	运行在以下环境
	应用	apache	jmeter	2.8	-
	运行在以下环境
	应用	apache	jmeter	2.9	-
	运行在以下环境
	应用	apache	jmeter	3.0	-
	运行在以下环境
	应用	apache	jmeter	3.1	-
	运行在以下环境
	应用	apache	jmeter	3.2	-
	运行在以下环境
	应用	apache	jmeter	3.3	-
	运行在以下环境
	系统	debian_10	jakarta-jmeter	*		Up to (including) 2.13-4
	运行在以下环境
	系统	debian_11	jakarta-jmeter	*		Up to (including) 2.13-4
	运行在以下环境
	系统	debian_12	jakarta-jmeter	*		Up to (including) 2.13-5
	运行在以下环境
	系统	debian_9	jakarta-jmeter	*		Up to (including) 2.13-2
	运行在以下环境
	系统	debian_sid	jakarta-jmeter	*		Up to (including) 2.13-5