關于6.x版本JBOSS Application Server存在反序列化命令執行漏洞的安全公告

2017年9月14日，國家信息安全漏洞共享平臺（CNVD）收錄了JBOSS Application Server反序列化命令執行漏洞（CNVD-2017-33724，對應CVE-2017-12149），遠程攻擊者利用漏洞可在未經任何身份驗證的服務器主機上執行任意代碼。漏洞細節和驗證代碼已公開，近期被不法分子利用出現大規模攻擊嘗試的可能性較大。

一、漏洞情況分析

JBOSS Application Server是一個基于J2EE的開放源代碼的應用服務器。 JBoss代碼遵循LGPL許可，可以在任何商業應用中免費使用，2006年，JBoss被Redhat公司收購。 

2017年8月30日，廠商Redhat發布了一個JBOSSAS 5.x 的反序列化遠程代碼執行漏洞通告。該漏洞位于JBoss的HttpInvoker組件中的 ReadOnlyAccessFilter 過濾器中，其doFilter方法在沒有進行任何安全檢查和限制的情況下嘗試將來自客戶端的序列化數據流進行反序列化，導致攻擊者可以通過精心設計的序列化數據來執行任意代碼。但近期有安全研究者發現JBOSSAS 6.x也受該漏洞影響，攻擊者利用該漏洞無需用戶驗證在系統上執行任意命令，獲得服務器的控制權。CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

該漏洞影響5.x和6.x版本的JBOSSAS。目前評估潛在受影響主機數量超過5000臺。

三、防護建議

升級到JBOSS AS7

臨時解決方案：

1. 不需要 http-invoker.sar 組件的用戶可直接刪除此組件。

 2. 添加如下代碼至 http-invoker.sar 下 web.xml 的 security-constraint 標簽中：

 <url-pattern>/*</url-pattern>

 用于對 http invoker 組件進行訪問控制。

 附：參考鏈接：

 https://access.redhat.com/security/cve/cve-2017-12149

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12149

http://www.cnvd.org.cn/flaw/show/CNVD-2017-33724