WebSphere Comments Collections组件反序列化漏洞（CVE-2015-7450）

来源：互联网发布：蝎子网络第一季百度云编辑：程序博客网时间：2024/05/21 06:58

刚刚完成了一个项目，在上线之前请求安全部门进行漏洞扫描，其中有一个漏洞名称是“WebSphere Comments Collections组件反序列化漏洞（CVE-2015-7450）”，按照扫描结果的提示解决方案，成功解决了，先分享一下。

详细描述Apache Commons Collections可以扩展或增加Java集合框架，是Commons Proper的一个组件，该组件是一个可重复利用Java组件库。

Apache Commons Collections (ACC) 3.2.1及4.0版本未能正确验证用户输入，其InvokerTransformer类在反序列化来自可疑域的数据时存在安全漏洞，这可使攻击者在用户输入中附加恶意代码并组合运用不同类的readObject()方法，在最终类型检查之前执行Java函数或字节码（包括调用Runtime.exec()执行本地OS命令）。

<*来源：Gabriel Lawrence
Chris Frohoff
Stephen Breen

链接：https://threatpost.com/critical-java-bug-extends-to-oracle-ibm-middleware/115319/
http://www.kb.cert.org/vuls/id/576313
*>解决办法临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 使用防火墙规则及文件系统访问限制
* 使用 SerialKiller 替换进行序列化操作的 ObjectInputStream 类
* 临时删除掉项目里的“org/apache/commons/collections/functors/InvokerTransformer.class” 文件

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁ACC 3.2.2 以修复这个安全问题，请到厂商的主页下载：
https://commons.apache.org/proper/commons-collections/download_collections.cgi
http://svn.apache.org/viewvc?view=revision&revision=1713307
https://commons.apache.org/proper/commons-collections/
https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread

漏洞原理及代码分析请看（感谢博主“随风”提供）：https://www.iswin.org/2015/11/13/Apache-CommonsCollections-Deserialized-Vulnerability/

按照上面的建议，到该网站下载修复后的jar包（commons-collections4-4.1-bin.zip）：https://commons.apache.org/proper/commons-collections/download_collections.cgi

0 0