总机:020-87516161 传真:020-87516161-8040
地址:广州市天河北路898号信源大厦3206-3211室 邮编:510660
安全公告编号:CNTA-2015-0028
近期,国家信息安全漏洞共享平台(CNVD)对Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞(编号:CNVD-2015-07556,又称“java反序列化漏洞”)进行了跟踪和威胁风险普查。该漏洞影响多款应用广泛的Web容器软件。远程攻击者利用漏洞可在目标系统上执行任意代码,危害较大的可以取得网站服务器控制权。相关情况如下:
一、漏洞情况分析
Apache Commons包含了多个开源工具的工具集,用于解决编程经常遇到的问题,减少重复劳动。由于Apache CommonsCollections组件的Deserialize功能存在的设计漏洞,CommonsCollections组件中对于集合的操作存在 可以进行反射调用的方法,且该方法在相关对象反序列化时并未进行任何校验,远程攻击者利用漏洞可发送特殊的数据给应用程序或给使用包含Java 'InvokerTransformer.class'序列化数据的应用服务器,在目标服务器当前权限环境下执行任意代码。CNVD对该漏洞的综合评级为 “高危”。
二、漏洞影响范围
Apache Commons工具集广泛应用于JAVA技术平台,WebLogic、WebSphere、JBoss、Jenkins等Web容器应用都大量调用了Commons工具集,通过远程代码执行可对上述应用发起远程攻击。截至12月初,CNVD对互联网上应用上述四类Web应用的分布情况和受漏洞影响进行了探测,分别探得全球有40169台主机使用Jboss软件,有9572台主机使用weblogic软件,有20600台主机使用jenkins软件,有29975台主机使用websphere软件。根据对境内主机IP的测试情况,Jboss、Weblogic、Jenkins受到漏洞影响的未修复比例分别是13.9%、50.4%、33.4%;从绝对数量看,Weblogic受到影响的数量最多。详情见附表1至附表9。
三、漏洞修复建议
用户可参考如下厂商提供的安全公告获取修复方案: http://svn.apache.org/viewvc?view=revision&revision=1713307。近期,CNVD处置了数十起涉及政府部门、重要信息系统行业单位的Java反序列化通用漏洞案例。
参考链接:
http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/#jboss
http://www.cnvd.org.cn/flaw/show/CNVD-2015-07556
附件:
表1 Jboss全球应用情况Top 10
| 排序 | 国家 | 数量 |
|---|---|---|
| 1 | 美国 | 18004 |
| 2 | 中国 | 6670 |
| 3 | 巴西 | 2671 |
| 4 | 德国 | 1262 |
| 5 | 印度 | 1210 |
| 6 | 法国 | 1002 |
| 7 | 英国 | 851 |
| 8 | 加拿大 | 748 |
| 9 | 韩国 | 621 |
| 10 | 意大利 | 581 |
表2 Jboss国内应用情况TOP 10
| 排序 | 国家 | 数量 |
|---|---|---|
| 1 | 浙江省 | 1335 |
| 2 | 北京市 | 1106 |
| 3 | 广东省 | 801 |
| 4 | 上海市 | 684 |
| 5 | 江苏省 | 388 |
| 6 | 台湾地区 | 369 |
| 7 | 福建省 | 296 |
| 8 | 香港特别行政区 | 244 |
| 9 | 山东省 | 219 |
| 10 | 河南省 | 189 |
表3 weblogic全球应用情况TOP 10
| 排序 | 国家 | 数量 |
|---|---|---|
| 1 | 中国 | 4470 |
| 2 | 美国 | 3969 |
| 3 | 韩国 | 316 |
| 4 | 英国 | 293 |
| 5 | 瑞典 | 279 |
| 6 | 加拿大 | 208 |
| 7 | 台湾 | 195 |
| 8 | 日本 | 166 |
| 9 | 西班牙 | 159 |
| 10 | 印度 | 143 |
表4Weblogic国内应用情况TOP 10
| 排序 | 国家 | 数量 |
|---|---|---|
| 1 | 北京市 | 1111 |
| 2 | 广东省 | 631 |
| 3 | 上海市 | 404 |
| 4 | 浙江省 | 371 |
| 5 | 江苏省 | 260 |
| 6 | 台湾地区 | 195 |
| 7 | 山东省 | 173 |
| 8 | 辽宁省 | 155 |
| 9 | 河南省 | 106 |
| 10 | 陕西省 | 95 |
表5 Jenkins全球应用情况TOP 10
| 排序 | 国家 | 数量 |
|---|---|---|
| 1 | 美国 | 11944 |
| 2 | 德国 | 1481 |
| 3 | 英国 | 904 |
| 4 | 荷兰 | 900 |
| 5 | 法国 | 712 |
| 6 | 中国 | 647 |
| 7 | 日本 | 558 |
| 8 | 加拿大 | 326 |
| 9 | 韩国 | 230 |
| 10 | 俄罗斯 | 199 |
表6 Jenkins国内应用情况TOP10
| 排序 | 国家 | 数量 |
|---|---|---|
| 1 | 浙江省 | 300 |
| 2 | 北京市 | 158 |
| 3 | 台湾地区 | 81 |
| 4 | 广东省 | 53 |
| 5 | 上海市 | 53 |
| 6 | 香港特别行政区 | 29 |
| 7 | 山东省 | 16 |
| 8 | 广西壮族自治区 | 16 |
| 9 | 江苏省 | 10 |
| 10 | 四川省 | 6 |
表7 Websphere全球应用情况TOP 10
| 排序 | 国家 | 数量 |
|---|---|---|
| 1 | 日本 | 20309 |
| 2 | 美国 | 4128 |
| 3 | 中国 | 2646 |
| 4 | 德国 | 264 |
| 5 | 加拿大 | 214 |
| 6 | 波兰 | 205 |
| 7 | 英国 | 204 |
| 8 | 印度 | 183 |
| 9 | 意大利 | 173 |
| 10 | 荷兰 | 126 |
表8 Websphere 国内应用情况TOP 10
| 排序 | 国家 | 数量 |
|---|---|---|
| 1 | 北京市 | 624 |
| 2 | 上海市 | 388 |
| 3 | 广东省 | 341 |
| 4 | 江苏省 | 337 |
| 5 | 浙江省 | 173 |
| 6 | 台湾地区 | 103 |
| 7 | 山东省 | 90 |
| 8 | 福建省 | 85 |
| 9 | 香港特别行政区 | 81 |
| 10 | 湖北省 | 67 |
表9 国内服务器IP应用识别和威胁普查情况表
| 服务器类型 | 应用识别数量 | 受漏洞影响数量 | 受影响比例 |
|---|---|---|---|
| Jboss | 6670 | 926 | 13.9% |
| Weblogic | 4470 | 2252 | 50.4% |
| Websphere | 2646 | 0 | 0% |
| Jenkins | 647 | 216 | 33.4% |
| 合计 | 14433 | 3394 | 23.5% |