詳細描述
Apache Commons Collections可以擴展或增加Java集合框架,是Commons Proper的一個組件,該組件是一個可重復利用Java組件庫。
Apache Commons Collections (ACC) 3.2.1及4.0版本未能正確驗證用戶輸入,其InvokerTransformer類在反序列化來自可疑域的數據時存在安全漏洞,這可使攻擊者在用戶輸入中附加惡意代碼並組合運用不同類的readObject()方法,在最終類型檢查之前執行Java函數或字節碼(包括調用Runtime.exec()執行本地OS命令)。
<*來源:Gabriel Lawrence
Chris Frohoff
Stephen Breen
鏈接:https://threatpost.com/critical-java-bug-extends-to-oracle-ibm-middleware/115319/
http://www.kb.cert.org/vuls/id/576313
*>
解決辦法
臨時解決方法:
如果您不能立刻安裝補丁或者升級,建議您采取以下措施以降低威脅:
* 使用防火牆規則及文件系統訪問限制
* 使用 SerialKiller 替換進行序列化操作的 ObjectInputStream 類
* 刪除掉項目里的“org/apache/commons/collections/functors/InvokerTransformer.class” 文件
廠商補丁:
Apache Group
------------
目前廠商已經發布了升級補丁ACC 3.2.2 以修復這個安全問題,請到廠商的主頁下載:
https://commons.apache.org/proper/commons-collections/download_collections.cgi
http://svn.apache.org/viewvc?view=revision&revision=1713307
https://commons.apache.org/proper/commons-collections/
https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread