研究人員重提影響廣泛的 Java 工具集 RCE 漏洞

一月份，安全研究人員Gabriel Lawrence和Chris Frohoff公布了一個影響范圍相當廣的Apache Commons工具集遠程代碼執行（RCE）漏洞，由于Apache Commons工具集幾乎是JAVA技術平臺中應用的最廣泛的工具庫，因此影響幾乎遍及整個JAVA陣營。但是由于漏洞非常高深且難以理解，盡管研究人 員們盡了最大的努力呼吁人們引起注意，在漏洞公開后近乎一年內該問題仍未得到廣泛重視。近日，知名博客Matthias Kaiser在節目中重談該問題，并讓Foxglove安全公司的Steve Breen通過快速演示來讓了解該RCE漏洞的危害性。

在 演示中，Breen通過Apache Commons工具集RCE漏洞快速破解了數個應用，包括WebLogic，IBM WebSphere, JBoss, Jenkins和OpenNMS在內的應用，這些應用都大量調用了Commons工具集，通過遠程代碼執行能夠對這些應用發起遠程攻擊。雖然Apache Commons工具集并不是Java核心之一，但由于JAVA中需要通過調用Apache Commons工具集等Java庫進行“對象的反串行化處理（object deserialization operations）”，同時能夠不被作為第三方工具對待，由于在Java中串行化和反串行化數據是被最普遍使用的實例，Apache Commons工具集又幾乎是JAVA技術平臺中應用的最廣泛的工具庫，因此影響可謂非常廣。最新的Apache  Commons工具集庫仍為2013年11月發布的4.0版本，Breen為該漏洞提供了一個較簡陋的修復，但是遺憾的是并不能作為完美解決方案。 Breen也承認自己的修復有點簡陋，希望該漏洞能夠引起更多人的重視。

轉載自：cnbeta.com