开发者社区> 问答> 正文

【漏洞公告】CVE-2017-15708:Apache Synapse远程代码执行漏洞


近日,Apache Synapse发布了新版本修复了一个远程代码执行漏洞(CVE-2017-15708)。该漏洞源于Apache Commons Collections组件,攻击者可以通过注入特制的序列化对象来远程执行代码。


Apache Synapse是什么?
大多数公司热衷于将它们现有的中间件转换为先进的 SOA服务体系架构,通常这需要花费很大的代价。Apache Synapse 是一个简单的、高质量开放源代码的替代方法,为实现 SOA 提供了一种途径,它可以公开现有的应用程序,而无需重新编写任何代码。


Apache Synapse是一个轻量级且高性能的企业服务总线(ESB)。 Apache Synapse由快速异步中介引擎提供支持,为XML,Web服务和REST提供了卓越的支持。 除了XML和SOAP,Apache Synapse还支持其他几种内容交换格式,如纯文本,二进制,Hessian和JSON。 可用于Synapse的各种传输适配器使其能够通过许多应用层和传输层协议进行通信。 截至目前,Apache Synapse支持HTTP / S,邮件(POP3,IMAP,SMTP),JMS,TCP,UDP,VFS,SMS,XMPP和FIX。


具体详情如下:



漏洞编号:
CVE-2017-15708
漏洞名称:
Apache Synapse远程代码执行漏洞
官方评级:
高危
漏洞描述:
该漏洞存在于Apache Commons Collections组件,攻击者可以通过注入特制的序列化对象来远程执行代码。
漏洞利用条件和方式:
通过PoC直接远程利用。
PoC状态:
未公开
漏洞影响范围:
Apache Synapse version < 3.0.1
漏洞检测:
开发人员检查是否使用了受影响版本范围内的Apache Synapse软件。
漏洞修复建议(或缓解措施):
Apache Synapse官方已经发布了最新的3.0.1版本修复了该漏洞,请受影响的用户尽快升级到最新版本进行防护。
情报来源:

  • http://www.openwall.com/lists/oss-security/2017/12/10/4?from=timeline
  • https://commons.apache.org/proper/commons-collections/security-reports.html














展开
收起
正禾 2017-12-11 12:27:49 18548 0
1 条回答
写回答
取消 提交回答
  • Re【漏洞公告】CVE-2017-15708Apache Synapse远程代码执行漏洞
    由于是出现在 RMI 的反序列漏洞,如果用户使用的 Java 的版本高于 8u121,7u131,6u141 也不会受到该漏洞的影响,因为在后面的版本加入了反序列化过滤机制。
    2017-12-13 16:13:53
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
Apache Flink技术进阶 立即下载
Apache Spark: Cloud and On-Prem 立即下载
Hybrid Cloud and Apache Spark 立即下载

相关实验场景

更多

相关镜像