Apache QPID 反序列化安全功能绕过漏洞(CVE-2016-4974)
发布日期:2016-07-13
更新日期:2016-07-14
受影响系统:
Apache Group Qpid JMS (AMQP 1.0) client <= 0.9.0
描述:
BUGTRAQ ID: 91537
CVE(CAN) ID: CVE-2016-4974
Apache Qpid Java是消息代理中间件。用Java编写,使用AMQP存储、路由、转发消息。
Apache Qpid AMQP 0-x JMS客户端6.0.4之前版本、JMS (AMQP 1.0) 0.10.0之前版本,未限制类路径上的类使用,远程攻击者通过JMS ObjectMessage内构造的序列化对象,经getObject函数处理时,会反序列化任意对象,执行任意代码。
<*来源:Matthias Kaiser
*>
建议:
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://qpid.apache.org/components/jms/security-0-x.html
https://issues.apache.org/jira/browse/QPIDJMS-188
http://qpid.apache.org/components/jms/security.html
参考:
http://www.securitytracker.com/id/1036239
http://www.securityfocus.com/archive/1/archive/1/538813/100/0/threaded
http://packetstormsecurity.com/files/137749/Apache-Qpid-Untrusted-Input-Deserialization.html