安全公告编号:CNTA-2015-0025

近日，国家信息安全漏洞共享平台（CNVD）收录了Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞（CNVD-2015-07556）,该漏洞影响多款应用广泛的Web容器软件。远程攻击者利用漏洞可在目标系统上执行任意代码，危害较大的可以取得网站服务器控制权。

一、漏洞情况分析

Apache Commons包含了多个开源工具的工具集，用于解决编程经常遇到的问题，减少重复劳动。由于Apache CommonsCollections组件的Deserialize功能存在的设计漏洞，CommonsCollections组件中对于集合的操作存在可以进行反射调用的方法，且该方法在相关对象反序列化时并未进行任何校验，远程攻击者利用漏洞可发送特殊的数据给应用程序或给使用包含Java 'InvokerTransformer.class'序列化数据的应用服务器，在目标服务器当前权限环境下执行任意代码。CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

Apache Commons工具集广泛应用于JAVA技术平台， WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等应用都大量调用了Commons工具集，通过远程代码执行可对上述应用发起远程攻击。

三、漏洞修复建议

用户可参考如下厂商提供的安全公告获取修复方案： http://svn.apache.org/viewvc?view=revision&revision=1713307；目前，针对上述漏洞暂时没有统一的官方补丁，CNVD建议参考如下措施（见下表）采取临时修复措施：

Web容器	影响版本	建议解决方案
jboss	JBoss Enterprise Application Platform 6.4.4,5.2.0,4.3.0_CP10 JBoss AS (Wildly) 6 and earlier JBoss A-MQ 6.2.0 JBoss Fuse 6.2.0 JBoss SOA Platform (SOA-P) 5.3.1 JBoss Data Grid (JDG) 6.5.0 JBoss BRMS (BRMS) 6.1.0 JBoss BPMS (BPMS) 6.1.0 JBoss Data Virtualization (JDV) 6.1.0 JBoss Fuse Service Works (FSW) 6.0.0 JBoss Enterprise Web Server (EWS) 2.1,3.0	删除 commons-collections jar 中的 InvokerTransformer, InstantiateFactory, 和 InstantiateTransfromer class 文件
WebSphere		使用 SerialKiller 替换进行序列化操作的 ObjectInputStream 类； 在不影响业务的情况下，临时删除掉项目里的 "org/apache/commons/collections/functors/InvokerTransformer.class" 文件；
WebLogic	9.2.3.0\9.2.4.0\10.0.0.0\10.0.1.0\ 10.0.2.0\10.2.6.0\10.3.0.0\10.3.1.0 \10.3.2.0\10.3.4.0\10.3.5.0\12.1.1.0
Jenkins

附：参考链接：

http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/#jboss

http://www.cnvd.org.cn/flaw/show/CNVD-2015-07556