欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 3355|回复: 0

[安全通知] 关于JbossAS 5.x及JbossAS 6.x系统反序列化代码执行漏洞通知

[复制链接]

219

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
33930
威望
13983
发表于 2017-11-23 01:29:10 |显示全部楼层
尊敬的腾讯云客户:
   您好,近日,腾讯云安全中心监测到JbossAS 5.x及JbossAS 6.x系统被爆存在远程代码执行严重漏洞(漏洞编号:CVE-2017-12149),该漏洞已在2017年8月30日由Redhat官方发布安全通告,目前已有公开可利用的代码,攻击者可利用该漏洞无需用户验证在系统上执行任意命令,导致您的服务器被远程控制。      
       为避免您的业务受影响,服务器被非法控制,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。

【漏洞详情】
  CVE-2017-12149:漏洞存在http-invoker.sar 组件中,在没有进行任何安全检查的情况下,将来自客户端的数据流(request.getInputStream())进行了反序列化操作,从而导致了任意代码执行。

【风险等级】
  高风险

【漏洞风险】
  远程命令执行

【影响版本】
  JBoss AS 5.x、JBossAS 6.x

【修复建议】
  1)如您不需要使用到http-invoker.sar 组件,建议您直接删除此组件;
  2)找到http-invoker.sar 压缩包中的 web.xml文件,并查找 security-constraint 标签,在标签中加入如下代码实现对 http invoker 组件的访问控制:<url-pattern>/*</url-pattern>


2017/11/23
您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-12-17 05:08 , Processed in 1.170428 second(s), 30 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部