IBM WebSphere Commons Collections组件反序列化漏洞（CVE-2015-7450）【原理扫描】

 

IBM 发布的Websphere安全公告：

https://www.ibm.com/support/pages/security-bulletin-vulnerability-apache-commons-affects-ibm-websphere-application-server-cve-2015-7450

 

摘要

WebSphere Application Server和WebSphere Application Server Hypervisor Edition解决了用于处理Java对象反序列化的Apache Commons Collections漏洞。此漏洞不会影响7.0版之前的IBM HTTP Server或WebSphere Application Server的版本。

 

漏洞详情

CVEID： CVE-2015-7450
说明：由于使用Java InvokerTransformer类对数据进行反序列化，Apache Commons Collections可能允许远程攻击者在系统上执行任意代码。通过发送特制数据，攻击者可以利用此漏洞在系统上执行任意Java代码。
CVSS基本分数：9.8 
CVSS时间分数：有关当前分数，请参见https://exchange.xforce.ibmcloud.com/vulnerabilities/107918
CVSS环境分数*：未定义
CVSS向量：（CVSS：3.0 / AV：N / AC：L / PR：N / UI：N / S：U / C：H / I：H / A：H）

受影响的产品和版本

以下版本的WebSphere Application Server和IBM WebSphere Application Server Hypervisor Edition可能会受到影响：

• 版本8.5和8.5.5传统和自由
• 8.0版
• 7.0版

WebSphere Application Server的先前版本不受影响。

 

 

修复

对于IBM WebSphere Application Server和IBM WebSphere Application Server Hypervisor Edition： 对于V8.5.0.0至8.5.5.7：
 

• 应用临时修订PI52103

- 要么

• 应用修订包8（8.5.5.8）或更高版本。

对于V8.0.0.0至8.0.0.11：

• 应用临时修订PI52103

- 要么

• 应用修订包12（8.0.0.12），或更高版本。

对于V7.0.0.0至7.0.0.39：

• 应用临时修订PI52103

- 要么

• 应用修订包41（7.0.0.41），或更高版本。

 

IBM建议您检查整个环境，以识别开源Apache Commons Collections的易受攻击的版本，并采取适当的缓解和补救措施

 

 

 

详情访问官方查看：https://www.ibm.com/support/pages/security-bulletin-vulnerability-apache-commons-affects-ibm-websphere-application-server-cve-2015-7450