此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

预警信息
当前位置: 首页 预警信息
名称:  关于Apache Synapse存在远程代码执行漏洞的安全公告
索引:  K08260953/2017-03045 发布机构:  吉林省通信管理局办公室
生成日期:  2017-12-20 0:00:00 文号:  
信息分类:   关键词:  
内容概述:  关于Apache Synapse存在远程代码执行漏洞的安全公告
关于Apache Synapse存在远程代码执行漏洞的安全公告
发布时间:2017-12-20 0:00:00  

  安全公告编号:CNTA-2017-0083
  2017年12月11日,国家信息安全漏洞共享平台(CNVD)收录了Apache Synapse远程代码执行漏洞(CNVD-2017-36700,对应CVE-2017-15708)。攻击者可利用上述漏洞通过注入特制的序列化对象远程执行代码。
  一、漏洞情况分析
  Apache Synapse是一个简单的、高质量开放源代码的替代方法,为实现 SOA 提供了一种途径,它可以公开现有的应用程序,而无需重新编写任何代码。
  近日,Apache Synapse发布了新版本修复的一个远程代码执行漏洞(CVE-2017-15708)。该漏洞源于Apache Commons Collections库包含“functor”包中的各个类可被序列化所致。攻击者可以通过注入特制的序列化对象,并在其类路径中包含Apache Commons Collections库,且不执行任何类型的输入验证,导致可远程执行代码。CNVD对该漏洞的综合评级为“高危”。
  二、漏洞影响范围
  漏洞影响Apache Synapse 3.0.1之前的所有版本。
  三、防护建议
  Apache Synapse官方已经发布了最新的3.0.1版本修复该漏洞,请受影响的用户尽快升级到最新版本:
http://synapse.apache.org/download/3.0.1/download.cgi
  附:参考链接:
  
http://www.openwall.com/lists/oss-security/2017/12/10/4
  
http://synapse.apache.org/index.html
  
http://www.cnvd.org.cn/flaw/show/CNVD-2017-36700
  注:白帽子sevck,CNVD技术组成员单位绿盟科技公司提供了相关技术支持。