反序列化任意代码执行漏洞

发布时间:2015-11-18浏览次数:1800

Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞

漏洞描述:

Apache Commons包含了很多开源的工具,用于解决平时编程经常会遇到的问题,减少重复劳动。  

Apache Commons Components  InvokerTransformer反序列化存在安全漏洞,允许远程用户发送特殊的数据给应用程序或使用或包含Java  'InvokerTransformer.class'序列化数据的应用服务器,可在目标系统上执行任意代码。

漏洞影响范围:

Apache InvokerTransformer 3.0

Apache InvokerTransformer 4.0

参考链接:

https://issues.apache.org/jira/browse/COLLECTIONS-580http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/#commons

漏洞解决方案:

用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:  

http://svn.apache.org/viewvc?view=revision&revision=1713307