Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞
漏洞描述:
Apache Commons包含了很多开源的工具,用于解决平时编程经常会遇到的问题,减少重复劳动。
Apache Commons Components InvokerTransformer反序列化存在安全漏洞,允许远程用户发送特殊的数据给应用程序或使用或包含Java 'InvokerTransformer.class'序列化数据的应用服务器,可在目标系统上执行任意代码。
漏洞影响范围:
Apache InvokerTransformer 3.0
Apache InvokerTransformer 4.0
参考链接:
https://issues.apache.org/jira/browse/COLLECTIONS-580http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/#commons
漏洞解决方案:
用户可参考如下厂商提供的安全公告获取补丁以修复该漏洞:
http://svn.apache.org/viewvc?view=revision&revision=1713307