JBoss高危漏洞分析

本文参考：https://www.freebuf.com/vuls/186948.html

JBOSS介绍：

        JBoss是一个基于J2EE的开放源代码应用服务器，代码遵循LGPL许可，可以在任何商业应用中免费使用；JBoss也是一个管理EJB的容器和服务器，支持EJB 1.1、EJB 2.0和EJB3规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器，一般与Tomcat或Jetty绑定使用。在J2EE应用服务器领域，JBoss是发展最为迅速的应用服务器。由于JBoss遵循商业友好的LGPL授权分发，并且由开源社区开发，这使得JBoss广为流行。

JBoss高危漏洞主要涉及到两种：

        第一种是利用未授权访问进入JBoss后台进行文件上传的漏洞，例如：CVE-2007-1036，CVE-2010-0738,CVE-2005-5750以及JBoss jmx-consoleHtmlAdaptor addURL() File Upload Vulnerability。

        另一种是利用Java反序列化进行远程代码执行的漏洞，例如：CVE-2015-7501，CVE-2017-7504，CVE-2017-12149，CVE-2013-4810。

        目前，JBoss未授权访问的漏洞已经得到了很好的修复，一些管理后台都添加了权限访问控制，想继续通过JBoss后台进行文件上传在现在的JBoss版本已经很少能实现了。目前JBoss的攻击趋势随着2015年FoxGlove Security 安全团队的 @breenmachine 博客的发布而渐渐偏向于Java反序列化攻击。因为这种攻击的特点是，危险等级高，影响范围广，一个Java反序列化漏洞造成的影响是巨大的。所以对于JBoss，我们需要做的防护措施就是，在各个对外开放组件进行输入验证，确保传入的信息中没有对服务器产生危害的内容。