中国重庆公安局主办 | 加入收藏| 招警信息|110服务台|有奖举报
  → 您现在的位置: 重庆市公安局公众信息网网络安全管理
关于Apache Synapse存在远程代码执行漏洞的安全公告
来自:|时间:2017年12月26日【字号: 】 【打印】 【关闭
 

国家信息安全漏洞共享平台(CNVD)收录了Apache Synapse远程代码执行漏洞(CNVD-2017-36700,对应CVE-2017-15708)。攻击者可利用上述漏洞通过注入特制的序列化对象远程执行代码。

一、漏洞情况分析

Apache Synapse是一个简单的、高质量开放源代码的替代方法,为实现 SOA 提供了一种途径,它可以公开现有的应用程序,而无需重新编写任何代码。

近日,Apache Synapse发布了新版本修复的一个远程代码执行漏洞(CVE-2017-15708)。该漏洞源于Apache CommonsCollections库包含“functor”包中的各个类可被序列化所致。攻击者可以通过注入特制的序列化对象,并在其类路径中包含Apache Commons Collections库,且不执行任何类型的输入验证,导致可远程执行代码。CNVD对该漏洞的综合评级为“高危”。

二、漏洞影响范围

 漏洞影响Apache Synapse 3.0.1之前的所有版本。

三、防护建议

Apache Synapse官方已经发布了最新的3.0.1版本修复该漏洞,请受影响的用户尽快升级到最新版本。

网上办事导航 | 招警信息 | 政府公开信箱 | 有奖举报
关闭窗口】 【返回首页