亚洲中文字幕无码久久2017,久久AV无码精品人妻系列,国产男女无遮挡猛进猛出,亚洲s码欧洲m码国产AV

安全公告編號:CNTA-2015-0028

近期，國家信息安全漏洞共享平臺（CNVD）對Apache Commons Components InvokerTransformer反序列化任意代碼執(zhí)行漏洞（編號:CNVD-2015-07556,又稱“java反序列化漏洞”）進(jìn)行了跟蹤和威脅風(fēng)險(xiǎn)普查。該漏洞影響多款應(yīng)用廣泛的Web容器軟件。遠(yuǎn)程攻擊者利用漏洞可在目標(biāo)系統(tǒng)上執(zhí)行任意代碼，危害較大的可以取得網(wǎng)站服務(wù)器控制權(quán)。相關(guān)情況如下：

一、漏洞情況分析

Apache Commons包含了多個開源工具的工具集，用于解決編程經(jīng)常遇到的問題，減少重復(fù)勞動。由于Apache CommonsCollections組件的Deserialize功能存在的設(shè)計(jì)漏洞，CommonsCollections組件中對于集合的操作存在 可以進(jìn)行反射調(diào)用的方法，且該方法在相關(guān)對象反序列化時(shí)并未進(jìn)行任何校驗(yàn)，遠(yuǎn)程攻擊者利用漏洞可發(fā)送特殊的數(shù)據(jù)給應(yīng)用程序或給使用包含Java 'InvokerTransformer.class'序列化數(shù)據(jù)的應(yīng)用服務(wù)器，在目標(biāo)服務(wù)器當(dāng)前權(quán)限環(huán)境下執(zhí)行任意代碼。CNVD對該漏洞的綜合評級為 “高危”。

二、漏洞影響范圍

Apache Commons工具集廣泛應(yīng)用于JAVA技術(shù)平臺，WebLogic、WebSphere、JBoss、Jenkins等Web容器應(yīng)用都大量調(diào)用了Commons工具集，通過遠(yuǎn)程代碼執(zhí)行可對上述應(yīng)用發(fā)起遠(yuǎn)程攻擊。截至12月初，CNVD對互聯(lián)網(wǎng)上應(yīng)用上述四類Web應(yīng)用的分布情況和受漏洞影響進(jìn)行了探測，分別探得全球有40169臺主機(jī)使用Jboss軟件，有9572臺主機(jī)使用weblogic軟件，有20600臺主機(jī)使用jenkins軟件，有29975臺主機(jī)使用websphere軟件。根據(jù)對境內(nèi)主機(jī)IP的測試情況，Jboss、Weblogic、Jenkins受到漏洞影響的未修復(fù)比例分別是13.9%、50.4%、33.4%；從絕對數(shù)量看，Weblogic受到影響的數(shù)量最多。詳情見附表1至附表9。

三、漏洞修復(fù)建議

用戶可參考如下廠商提供的安全公告獲取修復(fù)方案：?http://svn.apache.org/viewvc?view=revision&revision=1713307。近期，CNVD處置了數(shù)十起涉及政府部門、重要信息系統(tǒng)行業(yè)單位的Java反序列化通用漏洞案例。

參考鏈接：

http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/#jboss

http://www.cnvd.org.cn/flaw/show/CNVD-2015-07556

附件：

表1 Jboss全球應(yīng)用情況Top 10

排序	國家	數(shù)量
1	美國	18004
2	中國	6670
3	巴西	2671
4	德國	1262
5	印度	1210
6	法國	1002
7	英國	851
8	加拿大	748
9	韓國	621
10	意大利	581

表2 Jboss國內(nèi)應(yīng)用情況TOP 10

排序	國家	數(shù)量
1	浙江省	1335
2	北京市	1106
3	廣東省	801
4	上海市	684
5	江蘇省	388
6	臺灣地區(qū)	369
7	福建省	296
8	香港特別行政區(qū)	244
9	山東省	219
10	河南省	189

表3 weblogic全球應(yīng)用情況TOP 10

排序	國家	數(shù)量
1	中國	4470
2	美國	3969
3	韓國	316
4	英國	293
5	瑞典	279
6	加拿大	208
7	臺灣	195
8	日本	166
9	西班牙	159
10	印度	143

表4Weblogic國內(nèi)應(yīng)用情況TOP 10

排序	國家	數(shù)量
1	北京市	1111
2	廣東省	631
3	上海市	404
4	浙江省	371
5	江蘇省	260
6	臺灣地區(qū)	195
7	山東省	173
8	遼寧省	155
9	河南省	106
10	陜西省	95

表5 Jenkins全球應(yīng)用情況TOP 10

排序	國家	數(shù)量
1	美國	11944
2	德國	1481
3	英國	904
4	荷蘭	900
5	法國	712
6	中國	647
7	日本	558
8	加拿大	326
9	韓國	230
10	俄羅斯	199

表6 Jenkins國內(nèi)應(yīng)用情況TOP10

排序	國家	數(shù)量
1	浙江省	300
2	北京市	158
3	臺灣地區(qū)	81
4	廣東省	53
5	上海市	53
6	香港特別行政區(qū)	29
7	山東省	16
8	廣西壯族自治區(qū)	16
9	江蘇省	10
10	四川省	6

表7 Websphere全球應(yīng)用情況TOP 10

排序	國家	數(shù)量
1	日本	20309
2	美國	4128
3	中國	2646
4	德國	264
5	加拿大	214
6	波蘭	205
7	英國	204
8	印度	183
9	意大利	173
10	荷蘭	126

表8 Websphere 國內(nèi)應(yīng)用情況TOP 10

排序	國家	數(shù)量
1	北京市	624
2	上海市	388
3	廣東省	341
4	江蘇省	337
5	浙江省	173
6	臺灣地區(qū)	103
7	山東省	90
8	福建省	85
9	香港特別行政區(qū)	81
10	湖北省	67

表9 國內(nèi)服務(wù)器IP應(yīng)用識別和威脅普查情況表

服務(wù)器類型	應(yīng)用識別數(shù)量	受漏洞影響數(shù)量	受影響比例
Jboss	6670	926	13.9%
Weblogic	4470	2252	50.4%
Websphere	2646	0	0%
Jenkins	647	216	33.4%
合計(jì)	14433	3394	23.5%