关于Apache Jetspeed存在多个漏洞的安全公告

2016-03-10 10:00:13

安全公告编号:CNTA-2016-0009

近日,国家信息安全漏洞共享平台(CNVD)收录了Apache Jetspeed用户管理REST API未授权访问漏洞(CNVD-2016-01500、CVE-2016-0710 )和Apache Jetspeed目录穿越漏洞(CNVD-2016-01499、CVE-2016-0709)。远程攻击者可利用漏洞通过调用RESTAPI来管理系统用户,并在拥有管理员权限账号的情况下,上传任意文件,进而导致远程命令执行。

一、漏洞情况分析

Jetspeed是基于Java和XML的开源企业信息门户的实现。Jetspeed可集成各种数据源,通过XSL技术将数据组织成Jsp页面或Html页面传给客户端,并支持模板和内容的发布框架。

Jetspeed用户管理REST API存在未授权访问漏洞。攻击者可构造用户管理REST API创建用户并提升为管理员,从而获得管理员权限,执行创建、编辑、删除、提权等操作。

 Jetspeed后台Portal Site Manger在处理import ZIP文件时存在目录穿越的漏洞。攻击者利用这两个漏洞可在拥有管理员权限的情况上传任意文件,例如通过管理员账号在后台Portal Site Manger处import恶意构造的ZIP文件,ZIP 压缩文件中包含名称为../../webapps/de.jsp的文件,在后台处理上传时会拼接此文件名导致目录穿越,控制文件上传路径,进而导致远程命令执行。

CNVD对上述漏洞的综合评级均为“高危”。

二、漏洞影响范围

上述漏洞分别影响Jetspeed2.3.0版本和Jetspeed2.3.0、2.2.0-2.2.2版本。

三、漏洞修复建议

目前,厂商已发布了漏洞解决方案,可将程序升级至2.3.1版本。CNVD建议相关用户及时下载更新,避免引发漏洞相关的网络安全事件。http://tomcat.apache.org/security.html

附:参考链接:

https://portals.apache.org/jetspeed-2/security-reports.html#CVE-2016-0710

http://www.cnvd.org.cn/flaw/show/CNVD-2016-01499

http://www.cnvd.org.cn/flaw/show/CNVD-2016-01500