【威胁通告】红帽JBoss Fuse及JBoss A-MQ所用Karaf远程代码执行漏洞

2016年11月25日(当地时间),bugzilla.redhat.com对编号为CVE-2016-8648的漏洞信息进行了更新。该漏洞存在于红帽Red Hat JBoss Fuse和Red Hat JBoss A-MQ所使用的Karaf包中,漏洞发生于通过JMX操作向MBeans传递的对象被反序列化的过程中。一个远程攻击者可在运行JAVA虚拟机且在MBean的类路径中包含反序列化组件的机器上利用该漏洞,从而造成远程代码执行。相关链接地址如下:https://bugzilla.redhat.com/show_bug.cgi?id=1395077

漏洞危害

成功利用该漏洞,可以导致在目标机器上执行任意代码。

名词解释

JBoss Fuse

红帽JBoss Fuse是一款体积轻巧的灵活整合平台,能够帮助企业在内部或云端实现快速资源整合。JBoss Fuse具有模块化整合功能,即新型企业服务总线 (ESB),旨在用于信息解锁。(引用自redhat.com)

JBoss A-MQ

红帽JBoss A-MQ是一个灵活、高性能的消息传递平台,能够迅速、可靠地传输信息、并与物联网 (IoT) 实时整合和联接。它可以通过实时消息传递释放企业资源——整合应用、终端和设备;以安全、可扩展的方式连接到物联网;部署可靠的消息传递解决方案,为应用平台、企业服务总线 (ESB) 平台,以及面向服务的架构 (SOA) 平台提供支持。

Karaf

Karaf是Apache旗下的一个开源项目,它提供了一个轻量级的OSGi容器,可以用于部署各种组件和应用程序。

受影响的版本

  • Red Hat JBoss Fuse 6
  • Red Hat Jboss A-MQ 6.3.0

不受影响的版本

规避方案

官方目前暂未发布针对该漏洞的版本更新,由于利用该漏洞需要“admin”的用户身份,所以作为临时的缓解策略,使用Red Hat JBoss Fuse或Red Hat JBoss AM-Q的用户可以在“etc/users.properties”文件中为“admin”用户设置一个强口令。

 

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

如果您需要了解更多内容,可以
加入QQ群:486207500、570982169
直接询问:010-68438880-8669

发表评论