关于Apache Synapse存在远程代码执行漏洞的安全公告

    2017年12月11日，国家信息安全漏洞共享平台（CNVD）收录了 Apache Synapse远程代码执行漏洞（CNVD-2017-36700，对应CVE-2017-15708）。攻击者可利用上述漏洞通过注入特制的序列化对象远程执行代码。

    一、漏洞情况分析

    Apache Synapse是一个简单的、高质量开放源代码的替代方法，为实现 SOA 提供了一种途径，它可以公开现有的应用程序，而无需重新编写任何代码。

    近日，Apache Synapse发布了新版本修复的一个远程代码执行漏洞（CVE-2017-15708）。该漏洞源于Apache Commons Collections库包含“functor”包中的各个类可被序列化所致。攻击者可以通过注入特制的序列化对象，并在其类路径中包含Apache Commons Collections库，且不执行任何类型的输入验证，导致可远程执行代码。CNVD对该漏洞的综合评级为“高危”。

    二、漏洞影响范围

    漏洞影响Apache Synapse 3.0.1之前的所有版本。

    三、防护建议

    Apache Synapse官方已经发布了最新的3.0.1版本修复该漏洞，请受影响的用户尽快升级到最新版本：http://synapse.apache.org/download/3.0.1/download.cgi

来源：国家互联网应急中心

【关闭】 【打印】