一月份,安全研究人員gabriel lawrence和chris frohoff公布了一個影響範圍相當廣的apache commons工具集遠端代碼執行(rce)漏洞,由于apache commons工具集幾乎是java技術平台中應用的最廣泛的工具庫,是以影響幾乎遍及整個java陣營。但是由于漏洞非常高深且難以了解,盡管研究人 員們盡了最大的努力呼籲人們引起注意,在漏洞公開後近乎一年内該問題仍未得到廣泛重視。近日,知名部落格matthias kaiser在節目中重談該問題,并讓foxglove安全公司的steve breen通過快速示範來讓了解該rce漏洞的危害性。
在 示範中,breen通過apache commons工具集rce漏洞快速破解了數個應用,包括weblogic,ibm websphere, jboss, jenkins和opennms在内的應用,這些應用都大量調用了commons工具集,通過遠端代碼執行能夠對這些應用發起遠端攻擊。雖然apache commons工具集并不是java核心之一,但由于java中需要通過調用apache commons工具集等java庫進行“對象的反串行化處理(object deserialization operations)”,同時能夠不被作為第三方工具對待,由于在java中串行化和反串行化資料是被最普遍使用的執行個體,apache commons工具集又幾乎是java技術平台中應用的最廣泛的工具庫,是以影響可謂非常廣。最新的apache commons工具集庫仍為2013年11月釋出的4.0版本,breen為該漏洞提供了一個較簡陋的修複,但是遺憾的是并不能作為完美解決方案。 breen也承認自己的修複有點簡陋,希望該漏洞能夠引起更多人的重視。
![Java String.format方法的簡單使用[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)