【漏洞公告】CVE-2017-15708:Apache Synapse远程代码执行漏洞

近日，Apache Synapse发布了新版本修复了一个远程代码执行漏洞（CVE-2017-15708）。该漏洞源于Apache Commons Collections组件，攻击者可以通过注入特制的序列化对象来远程执行代码。


Apache Synapse是什么？
大多数公司热衷于将它们现有的中间件转换为先进的 SOA服务体系架构，通常这需要花费很大的代价。Apache Synapse 是一个简单的、高质量开放源代码的替代方法，为实现 SOA 提供了一种途径，它可以公开现有的应用程序，而无需重新编写任何代码。


Apache Synapse是一个轻量级且高性能的企业服务总线（ESB）。 Apache Synapse由快速异步中介引擎提供支持，为XML，Web服务和REST提供了卓越的支持。 除了XML和SOAP，Apache Synapse还支持其他几种内容交换格式，如纯文本，二进制，Hessian和JSON。 可用于Synapse的各种传输适配器使其能够通过许多应用层和传输层协议进行通信。 截至目前，Apache Synapse支持HTTP / S，邮件（POP3，IMAP，SMTP），JMS，TCP，UDP，VFS，SMS，XMPP和FIX。


具体详情如下:

• http://www.openwall.com/lists/oss-security/2017/12/10/4?from=timeline
• https://commons.apache.org/proper/commons-collections/security-reports.html