Apache QPID 反序列化安全功能绕过漏洞(CVE-2016-4974)

dingxingmei 2016-07-14

Apache QPID 反序列化安全功能绕过漏洞(CVE-2016-4974)


发布日期:2016-07-13
更新日期:2016-07-14

受影响系统:

Apache Group Qpid AMQP 0-x JMS client <= 6.0.3
Apache Group Qpid JMS (AMQP 1.0) client <= 0.9.0

描述:


BUGTRAQ  ID: 91537
CVE(CAN) ID: CVE-2016-4974

Apache Qpid Java是消息代理中间件。用Java编写,使用AMQP存储、路由、转发消息。

Apache Qpid AMQP 0-x JMS客户端6.0.4之前版本、JMS (AMQP 1.0) 0.10.0之前版本,未限制类路径上的类使用,远程攻击者通过JMS ObjectMessage内构造的序列化对象,经getObject函数处理时,会反序列化任意对象,执行任意代码。

<*来源:Matthias Kaiser
  *>

建议:


厂商补丁:

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://qpid.apache.org/components/jms/security-0-x.html
https://issues.apache.org/jira/browse/QPIDJMS-188
http://qpid.apache.org/components/jms/security.html

参考:
http://www.securitytracker.com/id/1036239
http://www.securityfocus.com/archive/1/archive/1/538813/100/0/threaded
http://packetstormsecurity.com/files/137749/Apache-Qpid-Untrusted-Input-Deserialization.html

相关推荐