首页 > 漏洞情报-威胁情报分析云平台 > Apache Synapse 远程代码执行漏洞情况的通报

Apache Synapse 远程代码执行漏洞情况的通报

[2017.11.21]

一、漏洞介绍

        Apache Synapse是美国阿帕奇(Apache)软件基金会的一款轻量级ESB(企业服务总线)。Apache Commons Collections是使用在其中的一个提供了Java集合框架的库。

        Apache Synapse 多个版本中存在远程代码执行漏洞(CNNVD-201710-1018、CVE-2017-15708)。Apache Synapse启动后会开启RMI服务(端口 1099),该漏洞是由于该服务使用较低版本的Apache Commons Collections 库,未对请求的对象进行类型校验,远程攻击者可通过注入特制的序列化对象利用该漏洞执行代码。

二、危害影响

        未经身份验证的远程攻击者可利用漏洞注入恶意序列化对象实现远程代码执行。Apache Synapse 3.0.0, 2.1.0, 2.0.0, 1.2, 1.1.2, 1.1.1版本均受影响。

三、修复建议

        目前Apache Synapse官方已发布最新版本修复该漏洞,建议受漏洞影响的用户及时安装相应软件的最新版本以避免受漏洞影响。

        针对Apache Synapse,建议更新至3.0.1版本,链接如下:

        http://synapse.apache.org/download/3.0.1/download.cgi

北京通和实益电信科学技术研究所有限公司 版权所有 京ICP备15030238号-1