jboss服务器反序列化漏洞解决方案

漏洞详情

披露状态:

2014-07-31: 细节已通知厂商并且等待厂商处理中
2014-08-05: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

未对jbossinvoker进行正确的权限设置,导致认证绕过

详细说明:

http://dapei.mo.vancl.com/invoker/JMXInvokerServlet

jboss本身的漏洞,即使限制了jmx-consoleweb-consoleadmin-console,仍然有可能导致远程命令执行

修复方案:

1、删除commons-collections-*.jar中的三个文件

\org\apache\commons\collections\functors\InvokerTransformer.class 
\org\apache\commons\collections\functors\InstantiateFactory.class 
\org\apache\commons\collections\functors\InstantiateTransfromer.class 

2.删除$JBOSS_HOME/[server]/all/deploy 和 $JBOSS_HOME/[server]/default/deploy下的

Jmx-console.warWeb-console.war两个文件夹

 

终极处理方法:我只会暴力的 删除 server/default/deploy/http-invoker.sar 

posted on 2016-02-25 20:28  梁海利  阅读(1035)  评论(0编辑  收藏  举报

Powered by: 博客园 Copyright © 2024 梁海利
Powered by .NET 8.0 on Kubernetes