亚州精品国产一线永久_久久久久亚洲精品男人的天堂_亚洲无码国产一区二区_中文字幕亚洲无线码高清

關(guān)于Apache Synapse存在遠(yuǎn)程代碼執(zhí)行漏洞的安全公告

發(fā)布時間:2017-12-12

2017年12月11日,國家信息安全漏洞共享平臺(CNVD)收錄了 Apache Synapse遠(yuǎn)程代碼執(zhí)行漏洞(CNVD-2017-36700,對應(yīng)CVE-2017-15708)。攻擊者可利用上述漏洞通過注入特制的序列化對象遠(yuǎn)程執(zhí)行代碼。

一、漏洞情況分析

Apache Synapse是一個簡單的、高質(zhì)量開放源代碼的替代方法,為實現(xiàn) SOA 提供了一種途徑,它可以公開現(xiàn)有的應(yīng)用程序,而無需重新編寫任何代碼。

近日,Apache Synapse發(fā)布了新版本修復(fù)的一個遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2017-15708)。該漏洞源于Apache Commons Collections庫包含“functor”包中的各個類可被序列化所致。攻擊者可以通過注入特制的序列化對象,并在其類路徑中包含Apache Commons Collections庫,且不執(zhí)行任何類型的輸入驗證,導(dǎo)致可遠(yuǎn)程執(zhí)行代碼。CNVD對該漏洞的綜合評級為“高?!?。

二、漏洞影響范圍

漏洞影響Apache Synapse 3.0.1之前的所有版本。

三、防護建議

Apache Synapse官方已經(jīng)發(fā)布了最新的3.0.1版本修復(fù)該漏洞,請受影響的用戶盡快升級到最新版本:http://synapse.apache.org/download/3.0.1/download.cgi。

附:參考鏈接:

http://www.openwall.com/lists/oss-security/2017/12/10/4

http://synapse.apache.org/index.html

http://www.cnvd.org.cn/flaw/show/CNVD-2017-36700

注:CNVD技術(shù)組成員單位綠盟科技公司提供了相關(guān)技術(shù)支持。


聯(lián)系電話:010-62199788
公司地址:北京市昌平區(qū)七北路TBD云集中心(42號院)16號樓
Copyright 2015-2020 長安通信科技有限責(zé)任公司版權(quán)所有 All Rights Reserved 京ICP備13045911號

掃碼關(guān)注