WebLogic Commons Collections组件反序列化漏洞(CVE-2015-4852)

详细描述

 

Apache Commons Collections可以扩展或增加Java集合框架，是Commons Proper的一个组件，该组件是一个可重复利用Java组件库。 

 

Apache Commons Collections (ACC) 3.2.1及4.0版本未能正确验证用户输入，其InvokerTransformer类在反序列化来自可疑域的数据时存在安全漏洞，这可使攻击者在用户输入中附加恶意代码并组合运用不同类的readObject()方法，在最终类型检查之前执行Java函数或字节码（包括调用Runtime.exec()执行本地OS命令）。 

 

<*来源：Gabriel Lawrence 

Chris Frohoff 

Stephen Breen 

 

链接：https://threatpost.com/critical-java-bug-extends-to-oracle-ibm-middleware/115319/ 

http://www.kb.cert.org/vuls/id/576313 

*>

 

 

解决办法

 

 

临时解决方法： 

 

如果您不能立刻安装补丁或者升级，建议您采取以下措施以降低威胁： 

 

* 使用防火墙规则及文件系统访问限制 

* 使用 SerialKiller 替换进行序列化操作的 ObjectInputStream 类 

* 删除掉项目里的“org/apache/commons/collections/functors/InvokerTransformer.class” 文件 

 

厂商补丁： 

 

Apache Group 

------------ 

目前厂商已经发布了升级补丁ACC 3.2.2 以修复这个安全问题，请到厂商的主页下载： 

https://commons.apache.org/proper/commons-collections/download_collections.cgi 

http://svn.apache.org/viewvc?view=revision&revision=1713307 

https://commons.apache.org/proper/commons-collections/ 

https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread