近期,德国安全团队@codewhitesec发现了Java AMF3的多个功能实现漏洞,美国CERT/CC也发出了安全预警。攻击者可以远程通过欺骗或控制服务连接方式,在AMF3反序列动作时执行任意代码。部分受影响产品的补丁已经发布。 AMF3实际上是Adobe Action Message Format的最新版本,是用于对ActionScript对象图形序列化的压缩二进制格式。AMF首次出现是在2001年的Flash Player 6之中,而AMF3则伴随Flash Player 9出现。 序列化是指,一个对象转为字节流的过程,以便将对象存储或传输到内存或文件中。而序列化的数据释放的过程就是反序列化这个过程如果处理不到位就会出现重大安全问题。 CERT/CC的安全公告提到了3个漏洞,第一个漏洞可让攻击者欺骗或控制RMI(Remote Method Invocation)服务器来执行代码。第二个漏洞则可被攻击者利用实现任意代码执行该漏洞影响到了Flamingo,Apache的Flex BlazeDS和GraniteDS。XXE漏洞也影响到了这些产品,另外还有WebORB。 详情如下: 漏洞概述Java AMF3功能存在不安全的反序列化和XML外部实体注入漏洞,导致多个应用程序产品受到影响,漏洞概要参见KB-CERTVU#307983,详细技术分析参见codewhitesec博客。 漏洞描述不可信数据的反序列化漏洞一些Java AMF3反序列化器实现不是从推荐规范类flash.utils.IExternalizable,而是从java.io.Externalizable中派生类实例。因此,远程攻击者可以通过欺骗或控制用来序列化Java对象的RMI服务连接,实现反序列化动作时执行任意代码。 一些Java AMF3反序列化器不是从推荐规范类flash.utils.IExternalizable,而是从java.io.Externalizable中派生类实例。因此,远程攻击者可以通过欺骗或控制用来序列化Java对象的RMI服务连接,实现反序列化动作时执行任意代码。 受该漏洞影响的产品程序和CVE编号如下:
使用以上这些库程序的其它产品也可能将受到影响。 动态托管代码资源的不正确控制漏洞一些Java AMF3反序列化器实现可以通过其公开的无参数构造函数构造任意类实例,或调用任意Java Beans setter方法。漏洞的可利用情况于取决于使用反序列化的类路径中的类的可用性。远程攻击者可以发送预先设置好的序列化java对象,以欺骗或控制方式在反序列动作时执行任意代码。 受该漏洞影响的产品程序和CVE编号如下:
使用以上这些库程序的其它产品也可能将受到影响。 XML外部实体引用的不当限制漏洞(XXE漏洞)一些Java AMF3反序列化器实现允许从AMF3消息嵌入的XML文件中执行外部实体引用,一旦XML解析发生错误处理,将会泄露服务器敏感信息,同时也会导致DDoS、SSRF服务器端请求伪造攻击。 受该漏洞影响的产品程序和CVE编号如下:
使用以上这些库程序的其它产品也可能将受到影响。 漏洞影响攻击者可以远程通过欺骗或控制服务连接,发送序列化的java对象,在反序列动作时执行任意代码。 解决方案
目前受影响的供应商信息部分库如GraniteDS和Flamingo都已经不再受支持;而Atlassian和Apache则已经针对自家产品发布了补丁。CERT/CC表示,HPE、SonicWall和VMware的产品可能也受到影响。 就没日过这么扎心的网站 这个漏洞有点大!一个手机号即可查到你的银行存款 ! 开源论坛程序vBulletin存在0day漏洞,官网被入侵 亲喜欢吗?记得点赞|留言|分享 长按公众号,可“置顶” ---------------------------------- 要闻,干货,原创,专业 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
注册
登录
