安全人员重提Java工具集RCE漏洞

一月份，安全研究人员Gabriel Lawrence和Chris Frohoff公布了一个影响范围相当广的Apache Commons工具集远程代码执行（RCE）漏洞，由于Apache Commons工具集几乎是JAVA技术平台中应用的最广泛的工具库，因此影响几乎遍及整个JAVA阵营。但是由于漏洞非常高深且难以理解，尽管研究人 员们尽了最大的努力呼吁人们引起注意，在漏洞公开后近乎一年内该问题仍未得到广泛重视。近日，知名博客Matthias Kaiser在节目中重谈该问题，并让Foxglove安全公司的Steve Breen通过快速演示来让了解该RCE漏洞的危害性。

在演示中，Breen通过Apache Commons工具集RCE漏洞快速破解了数个应用，包括WebLogic，IBM WebSphere, JBoss, Jenkins和OpenNMS在内的应用，这些应用都大量调用了Commons工具集，通过远程代码执行能够对这些应用发起远程攻击。虽然Apache Commons工具集并不是Java核心之一，但由于JAVA中需要通过调用Apache Commons工具集等Java库进行“对象的反串行化处理（object deserialization operations）”，同时能够不被作为第三方工具对待，由于在Java中串行化和反串行化数据是被最普遍使用的实例，Apache Commons工具集又几乎是JAVA技术平台中应用的最广泛的工具库，因此影响可谓非常广。最新的Apache Commons工具集库仍为2013年11月发布的4.0版本，Breen为该漏洞提供了一个较简陋的修复，但是遗憾的是并不能作为完美解决方案。Breen也承认自己的修复有点简陋，希望该漏洞能够引起更多人的重视。