一 简介

近期，Apache Commons Collections基础类库被披露存在“反序列化远程代码执行”漏洞，WebLogic、WebSphere、Jboss和Jenkins等多款WEB容器受到漏洞影响，攻击者利用该漏洞可远程执行任意系统命令。

JAVA是一种面向对象的语言，其中的类、属性、方法都可称为对象。将JAVA类对象转换为字节序列的过程称之为序列化。其主要用途是将JAVA对象的字节序保存在磁盘上或用于网络传输。Apache Commons Collections基础类库在进行反序列化处理时，使用 ObjectInputStream 类调用 readObject函数去读取用户传递过来的序列化对象字节流数据。攻击者通过发送精心构造的代码调用链，可使readObject函数在反序列化字节流时发生异常，创建恶意的代码调用链，导致恶意代码被执行。

二 影响版本

Apache Commons工具集广泛应用于JAVA技术平台， WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等应用都大量调用了Commons工具集，通过远程代码执行可对上述应用发起远程攻击。

web容器类型	受影响的版本
Jenkins	1.638（不包括之前版本）
WebLogic	10.3.6.0 、12.1.2.0、12.1.3.0、12.2.1.0之前的版本也可能受影响
JBoss	JBoss Enterprise Application Platform 6.4.4/5.2.0/4.3.0_CP10、JBoss AS（wildly）6 and earlier、JBoss A-MQ 6.2.0、JBoss Fuse 6.2.0、JBoss SOA Platform（SOA-P）5.3.1、JBoss Data Grid（JDG）6.5.0、JBoss BRMS（BRMS）6.1.0、JBoss BPMS（BRMS）6.1.0、JBoss Data Virtualization（JDV）6.1.0、JBoss Fuse Service Works（FSW）6.0.0、JBoss Enterprise Web Server（EWS）2.1/3.0
WebSphere	Version 8.5 and8.5.5 Full Profile and Liberty Profile、Version 8.0、Version 7.0

三 漏洞详情

满足此漏洞的环境配置
漏洞源头commons-collections.jar

开启的SOAP端口8880. /opt/IBM/WebSphere/AppServer/properties/wsadmin.properties

测试websphere的环境版本号7.0.0.11，目前最新的版本是8.5.5

四 漏洞影响

ZoomEye 团队针对全球开放8880端口的289.6万服务器进行了漏洞验证，已经确认其中963台服务器存在该风险

五 修复建议

a.可使用1day检测检测您的资产是否受此漏洞影响
b.可按下方修复建议针对受影响资产进行修复：

• Jenkins
  参照以下链接升级到1.638之后的版本
  https://jenkins-ci.org/content/mitigating-unauthenticated-remote-code-execution-0-day-jenkins-cli
• Weblogic
  （1）Weblogic厂商暂时未提供补丁，可参考以下链接进行临时修复
  http://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html
  （2）密切关注厂商补丁发布信息
  https://support.oracle.com/rs?type=doc&id=2075927.1
• JBoss
  参照以下链接升级基础类库
  https://issues.apache.org/jira/browse/COLLECTIONS-580
• WebSphere
  参照以下链接进行修复：
  http://www-01.ibm.com/support/docview.wss?uid=swg21970575

c.技术业务咨询：
知道创宇技术业务咨询热线 :400-060-9587(政府，国有企业)、028-68360638(互联网企业)

@知道创宇 scanv平台发布